استفاده از تروجان Komplex در مک برای جاسوسی

۱۹۰۳محققان امنیتی نسخه جدیدی از یک تروجان را در سامانه‌عامل مک کشف کرده‌اند. به گفته این محققان، تروجان مذکور که Komplex نام دارد با گروه خرابکاری سایبری با نام Sofacy مرتبط است. شایان ذکر است این گروه در روسیه فعالیت می‌کند.

محققان می‌گویند تا این لحظه فقط شاهد بار داده این بدافزار بوده‌اند و هنوز گزارشی از قربانیان این بدافزار داده نشده است. آن‌ها اعلام کرده‌اند که بر اساس مستندات به دست‌ آمده، به نظر می‌رسد نمونه‌های تروجان مذکور برای حمله به اهداف صنایع هوایی سفارشی شده‌اند.

Palo Alto، همان شرکت امنیتی که این تروجان را کشف کرده است می‌گوید تابه‌حال سه نسخه از این بدافزار کشف شده است. یک نسخه می‌تواند معماری‌های x۶۴ را هدف قرار دهد، نسخه دیگر برای معماری‌های x۸۶ بوده و نسخه سوم بر روی هر دو این معماری‌ها مؤثر است.

Komplex از آسیب‌پذیری MacKeeper برای حمله به اهداف استفاده می‌کند!

محققان امنیتی می‌گویند آلودگی زمانی رخ می‌دهد که این تروجان در گام اول از یک آسیب‌پذیری در برنامه ضدویروس MacKeeper بهره‌برداری می‌کند تا بتواند جای پایی در رایانه مک برای خود باز کند.

در نمونه‌های تحلیل شده، تروجان مذکور در گام اول، خود را در قالب یک سند PDF، حاوی جزئیات برنامه فضایی روسیه نشان می‌دهد.

این بخش با افزودن پرونده .plist‌خود به روال راه‌اندازی، با هر بار راه‌اندازی رایانه شروع می‌شود؛ سپس قراردهنده سربار Komplex را بارگیری می‌کند.

در گام دوم، اطلاعاتی درباره سامانه جمع‌آوری می‌شود. سپس در زمان اتصال به اینترنت از طریق ارتباط با کارگزار دستور و کنترل، جزئیات میزبان آلوده‌شده ارسال می‌شوند.

در این مرحله، کارگزار دستور و کنترل تصمیم می‌گیرد چه ماژول‌های دیگری از Komplex را ارسال کند. محققان می‌گویند ماژول‌هایی را شناسایی کرده‌اند که به اعضای Sofacy امکان بارگیری پرونده‌ها، سرقت داده و اجرای فرامین مختلف را روی میزبان‌های آلوده می‌دهند.

Palo Alto‌ می‌گوید Komplex همان تروجانی است که در ژوئن ۲۰۱۵ توسط BAE Systems کشف شده بود.

گروه Sofacy که با نام‌های Fancy Bear ،APT۲۸ ،Sednit ،Pawn Storm یا Strontium شناخته می‌شود، یکی از فعال‌ترین گروه‌های خرابکاری در حوزه سایبری است. گفته می‌شود Sofacy، یکی از گروه‌هایی که در تابستان ۲۰۱۵ به DNC‌ نفوذ کردند و موجبات رخنه داده اخیر WADA را فراهم نمودند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.