Trojan.MacOS.Komplex.A
Wertungsliste der Bedrohung
EnigmaSoft Bedrohungs-Scorecard
EnigmaSoft Threat Scorecards sind Bewertungsberichte für verschiedene Malware-Bedrohungen, die von unserem Forschungsteam gesammelt und analysiert wurden. EnigmaSoft Threat Scorecards bewerten und stufen Bedrohungen anhand verschiedener Metriken ein, darunter reale und potenzielle Risikofaktoren, Trends, Häufigkeit, Prävalenz und Persistenz. EnigmaSoft Threat Scorecards werden regelmäßig auf der Grundlage unserer Forschungsdaten und -metriken aktualisiert und sind für eine Vielzahl von Computerbenutzern nützlich, von Endbenutzern, die nach Lösungen suchen, um Malware von ihren Systemen zu entfernen, bis hin zu Sicherheitsexperten, die Bedrohungen analysieren.
EnigmaSoft Threat Scorecards zeigen eine Vielzahl nützlicher Informationen an, darunter:
Ranking: Das Ranking einer bestimmten Bedrohung in der Bedrohungsdatenbank von EnigmaSoft.
Schweregrad: Der ermittelte Schweregrad eines Objekts, numerisch dargestellt, basierend auf unserem Risikomodellierungsprozess und unserer Forschung, wie in unseren Kriterien zur Bedrohungsbewertung erläutert.
Infizierte Computer: Die Anzahl der bestätigten und vermuteten Fälle einer bestimmten Bedrohung, die auf infizierten Computern entdeckt wurden, wie von SpyHunter gemeldet.
Siehe auch Kriterien für die Bedrohungsbewertung .
| Bedrohungsstufe: | 90 % (Hoch) |
| Infizierte Computer: | 13 |
| Zum ersten Mal gesehen: | February 3, 2021 |
| Zuletzt gesehen: | October 27, 2022 |
Trojan.MacOS.Komplex.A wurde 2016 von Forschern entdeckt. Es handelt sich um eine Trojaner-Infektion für MacOS-Computer, die von der Sofacy Group (auch bekannt als Fancy Bear, APT28, Sednit und Pawn Storm) erstellt wurde. Bei der Analyse der Bedrohung stellten Malware-Forscher fest, dass der Trojaner in der Vergangenheit verwendet wurde, indem eine Sicherheitsanfälligkeit in MacKeeper ausgenutzt wurde. Es wird jedoch angenommen, dass die neuesten Versionen dieser Bedrohung Zielcomputer hauptsächlich durch beschädigte E-Mail-Anhänge infizieren. Anscheinend zielt Komplex.A Trojan für Mac auf die Luft- und Raumfahrtindustrie ab, da es durch Spam-Kampagnen auf den Computern der Opfer landet, die die Empfänger dazu verleiten, einen böswilligen Anhang zu öffnen, der als PDF-Datei mit Informationen zum russischen Luft- und Raumfahrtprogramm maskiert ist.
Nach dem Öffnen installiert der Anhang die Dateien des Trojaners auf dem System und stellt dann eine Verbindung mit dem von den Cyber-Angreifern kontrollierten Remote Command and Control Server (C & C Server) her. Der Anhang öffnet zunächst ein aktuelles PDF mit den versprochenen Informationen in der Vorschau, um den wahren Zweck zu verschleiern. Es sieht so aus, als ob Komplex.A über einen Mechanismus zur Vermeidung von Analysen und Sandboxen verfügt. Es sendet eine GET-Anfrage an Google, um zu bestätigen, dass eine aktive Internetverbindung verfügbar ist, bevor die Hauptfunktionen ausgeführt werden. Die Malware erstellt während der Installation mehrere Dateien, zunächst im Ordner / Users / Shared /, insbesondere in /Users/Shared/.local/kextd und /Users/$USER/Library/LaunchAgents/com.apple.updates.plist. Anschließend werden die Dateien an ihren endgültigen Speicherort verschoben.
Obwohl die Analyse im Jahr 2016 keine spezifischen schädlichen Aufgaben von Komplex.A ergab, können die Angreifer den Trojaner nach vollständiger Installation anweisen, Befehle auszuführen, z. B. das Herunterladen und Ausführen zusätzlicher Malware-Bedrohungen. Komplex.A verfügt auch über eine lange Liste gemeinsamer Funktionen mit einer anderen Bedrohung namens Carberp, die Windows-Systeme angreift, was bedeutet, dass die Sofacy Group in Zukunft möglicherweise neue plattformübergreifende Bedrohungen entwickeln wird.
