Si chiama
Komplex il
trojan scoperto dai ricercatori di
Palo Alto Networks, che colpisce i
sistemi OS X di Apple. Komplex viene diffuso attraverso
email di phishing, il cui testo contiene un messaggio in cui si promette di rivelare dettagli sul
futuro programma spaziale russo dal 2016 al 2025. Proprio per questo motivo, si pensa che il malware sia stato appositamente progettato per essere utilizzato contro
comparti aerospaziali che utilizzano
pc Apple.
Komplex: come agisce?
Le
email di phishing contengono al loro interno un
allegato in forma di eseguibile: il
.exe che, a sua volta, contiene il codice cifrato del malware, alcuni script e un documento in PDF. L’utente, dunque, è convinto che l’allegato della email sia un semplice documento PDF. Una volta che la vittima apre l’allegato, il codice del malware apre un documento in formato PDF di
17 pagine scritto in russo (
“rosokosmos_2015-2025.pdf”).
Mentre l’utente si convince quindi che la mail contenga un semplicissimo file .pdf, Komplex installa sul pc un altro componente con funzione di
dropper, che a sua volta installa un terzo componente eseguibile (
“/Users/Shared/.local/kextd”), oltre ad un file
plist (
“/Users/Shared/com.apple.updates.plist”) ed uno
script (
“/Users/Shared/start.sh”): alla fine di questo processo l’eseguibile diventa quindi persistente, avviandosi ad ogni avvio del sistema operativo.
Il
malware esegue poi alcuni
controlli per rendersi invisibile agli antivirus e per rendersi conto se viene eseguito in una
sandbox: uno di questi controlli, tramite l’invio di una
richiesta HTTP GET verso Google, ha lo scopo di determinare la presenza di connessioni Internet.
Komplex rimane latente fin quando non riceve una risposta dai server di Google: a quel punto avvierà la comunicazione col
server C&C.
In base ai comandi e ai dati ricevuti, Komplex è in grado di scaricare file aggiuntivi sul pc ed eseguire comandi di shell arbitrari, il cui risultato viene spedito come risposta al server C&C.
Una notizia positiva: Komplex presenta un alto tasso di rilevamento da parte dei più comuni antivirus.