Эксперты из Palo Alto Networks рассказали о новой троянской программе для macOS, которая используется в рамках атак на предприятия и отдельных лиц, работающих в аэрокосмической индустрии.
На данный момент есть информация о трех версиях вредоносной программы. Два варианта предназначаются для архитектур x86 и x64, а третья версия является универсальной. Как сообщают эксперты Palo Alto Networks, троянская программа Komplex связана с активностью кибергруппировки, которая известна как Fancy Bear (APT28, Pawn Storm, Sednit, Sofacy, Strontium).
Инфицирование целевого устройства происходит путем использования уязвимости в приложении MacKeeper. Распространение вредоносной программы осуществляется с помощью PDF-документа, якобы содержащего информацию о Федеральной космической программе России на период с 2016 по 2025 год. После проникновения на компьютер Komplex ведет сбор данных о системе. После подключения пользователя к интернету троянская программа выходит на связь с командным сервером хакеров и передает собранные данные.
Основываясь на полученной информации, операторы вредоносной программы принимают решение о том, нужно ли отправлять дополнительные модули. Исследователи идентифицировали модули, которые используются киберпреступниками для того, чтобы загружать файлы на целевой компьютер, похищать данные и выполнять команды.
Как сообщают специалисты, Komplex – это версия банковской троянской программы Carberp для macOS, взятой ранее на вооружение хакерами Fancy Bear.