Komplex, un nuovo malware colpisce gli utenti Mac OS X

 

Proto: N040916. 

Con la presente Yoroi desidera comunicarLe che è stata rilevata una campagna di attacchi che utilizza un trojan denominato Komplex avente come bersaglio gli utilizzatori di Mac OS X.

La nuova minaccia visualizza, come diversivo, un documento PDF denominato roskosmos_2015-2025.pdf dal titolo “Проект Федеральной космической программы России на 2016 – 2025 годы” che descrive il programma spaziale russo dei prossimi anni (tra il 2016 e il 2025). Sebbene non ci siano informazioni dettagliate riguardanti la campagna di attacchi è lecito pensare, dato il carattere del documento, che possa essere indirizzata specificatemente ad entità operanti nell’industria aerospaziale.

L’infezione si svolge in 3 stadi:

  1. Komplex Binder: in questo stadio un componente denominato Binder si occupa di scaricare il Dropper (step 2) ed il documento PDF diversivo. Sono state rilevate 3 versioni di questo componente:
    • una versione specifica per architetture x86 (32 bit)
    • una versione specifica per architetture x64 (64 bit)
    • una versione che contiene al suo interno i componenti per entrambe le architetture
  2. Komplex Dropper: in questo stadio un componente denominato Dropper si occupa del download dei seguenti file necessari al funzionamento del Trojan:
    • /Users/Shared/.local/kextd: componente principale che contiene il Trojan vero e proprio
    • /Users/Shared/com.apple.updates.plist: componente che si occupa della persistenza del malware garantendo la sua esecuzione ad ogni avvio
    • /Users/Shared/start.sh: componente che si occupa del primo avvio
  3. Komplex Payload (/Users/Shared/.local/kextd): questo componente mette in pratica alcune tecniche di anti-debugging e anti-sandboxing e prosegue l’esecuzione solo se eseguito in assenza di Debuggers ed in presenza di una connessione internet.

Il Trojan è in grado di eseguire alcuni comandi ricevuti dal server di comando e controllo, quali:

  • Salvare sul disco dati ricevuti dal server
  • Eseguire comandi e file presenti sul disco
  • Cancellare file dal disco

Analisi approfondite sui campioni di Komplex individuati hanno evidenziato come parte del codice sia identico a quello di altre minacce (es. Carberp) che colpisono piattaforme Windows, si è inoltre scoperto che una parte di domini utilizzati dai server di comando e controllo delle minacce precedenti sono tutt’ora utilizzati anche da Komplex.
Questa nuova minaccia sottolinea come sempre più gruppi di cyber criminali stia spostando la propria attenzione verso minacce multi-piattaforma in grado di infettare e diffondersi in ambienti eterogenei sfruttando una base di codice e server di comando e controllo comuni.

Yoroi suggerisce di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MATP (Managed Advanced Threat Protection).

Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index