Si chiama Komplex il trojan scoperto dai ricercatori di Palo Alto Networks, che colpisce i sistemi OS X di Apple. Komplex viene diffuso attraverso email di phishing, il cui testo contiene un messaggio in cui si promette di rivelare dettagli sul futuro programma spaziale russo dal 2016 al 2025. Proprio per questo motivo, si pensa che il malware sia stato appositamente progettato per essere utilizzato contro comparti aerospaziali che utilizzano pc Apple.
Komplex: come agisce?
Le email di phishing contengono al loro interno un allegato in forma di eseguibile: il .exe che, a sua volta, contiene il codice cifrato del malware, alcuni script e un documento in PDF. L’utente, dunque, è convinto che l’allegato della email sia un semplice documento PDF. Una volta che la vittima apre l’allegato, il codice del malware apre un documento in formato PDF di 17 pagine scritto in russo (“rosokosmos_2015-2025.pdf”).
Mentre l’utente si convince quindi che la mail contenga un semplicissimo file .pdf, Komplex installa sul pc un altro componente con funzione di dropper, che a sua volta installa un terzo componente eseguibile (“/Users/Shared/.local/kextd”), oltre ad un file plist (“/Users/Shared/com.apple.updates.plist”) ed uno script (“/Users/Shared/start.sh”): alla fine di questo processo l’eseguibile diventa quindi persistente, avviandosi ad ogni avvio del sistema operativo.
Il malware esegue poi alcuni controlli per rendersi invisibile agli antivirus e per rendersi conto se viene eseguito in una sandbox: uno di questi controlli, tramite l’invio di una richiesta HTTP GET verso Google, ha lo scopo di determinare la presenza di connessioni Internet.
Komplex rimane latente fin quando non riceve una risposta dai server di Google: a quel punto avvierà la comunicazione col server C&C.
In base ai comandi e ai dati ricevuti, Komplex è in grado di scaricare file aggiuntivi sul pc ed eseguire comandi di shell arbitrari, il cui risultato viene spedito come risposta al server C&C.
Una notizia positiva: Komplex presenta un alto tasso di rilevamento da parte dei più comuni antivirus.
Nessun commento:
Posta un commento