Группировка Fancy Bear использует новый троян для Mac OS X с целью кибершпионажа

Специалисты компании Palo Alto Networks сообщили о появлении нового трояна для Mac OS X, используемого в атаках на предприятия и отдельных лиц, связанные с аэрокосмической индустрией. В настоящее время известно о существовании трех версий вредоноса. Две из них предназначены для архитектур x86 и x64, третья - универсальна. По данным Palo Alto Networks, троян Komplex связан с активностью специализирующейся на кибершпионаже группировки, известной как Fancy Bear, APT28, Sednit, Pawn Storm, Strontium и Sofacy.

Заражение целевого компьютера осуществляется посредством эксплуатации уязвимости в приложении MacKeeper. Вредонос распространяется через PDF-документ, якобы содержащий подробности о Федеральной космической программе России на 2016-2025 годы. Оказавшись на компьютере, Komplex собирает данные о системе. Троян ожидает, пока пользователь не подключится к интернету, и только тогда связывается с C&C-сервером злоумышленников и отправляет информацию.

На основе полученных данных операторы вредоноса принимают решение об отправке дополнительных модулей. Исследователям удалось идентифицировать модули, используемые злоумышленниками для загрузки файлов на целевой компьютер, хищения данных, выполнения команд и пр.

По мнению специалистов, Komplex является версией для Mac OS X банковского трояна Carberp, который ранее взяла на вооружение группировка Fancy Bear. Предполагается, что именно эта команда стоит за атаками на серверы Национального комитета Демократической партии США и Всемирного антидопингового агентства.