Возвращение Komplex: будьте осторожны, пользователи Mac

Сложные вредоносные программы: на что обращать внимание?

Впервые обнаруженный — или, скорее, заново обнаруженный в 2017 году, BitDefender сообщил о возвращении инструмента Sofacy XAgent для macOS. Это ориентированный на Apple вариант вируса для Windows и Linux, который заразил тысячи устройств по всему миру. Он не только вернулся, но и получил расширенные возможности, включая инструменты для кражи резервных копий iPhone и iPad с компьютеров Mac.

Вскоре после того, как эта история впервые стала известна, Palo Alto Networks (PAN) — надежный поставщик средств защиты, известный тем, что выявляет вирусы, предоставляет анализ безопасности и исправления — более подробно рассказал о Komplex, также известном как XagentOSX.

Комплекс — это только часть большой головоломки, согласно отчету.

Мы полагаем, что Sofacy может использовать Komplex для загрузки и установки инструмента XAgentOSX, чтобы использовать его расширенный набор команд в скомпрометированной системе.

Интересно, что одной из причин, по которой этот вредоносный вирус хуже большинства, считается, что его создателями являются Sofacy Group. Поддерживаемая государством российская группа кибершпионажа, также известная как Fancy Bear, APT28, Pawn Storm и Sednit. Эта группа несет ответственность за атаки на Национальный комитет Демократической партии (DNC) в США и всемирное антидопинговое агентство. Поэтому, если они запустили Komplex и XAgentOSX, мы можем предположить, что обширные ресурсы были потрачены на то, чтобы убедиться, что он распространяется и не может быть легко обнаружен или удален с зараженных компьютеров Mac.

Что такое Комплекс и что он делает?

Комплекс — это просто часть более крупной головоломки кибербезопасности. Komplex фактически является агентом запуска для XAgentOSX, который теперь поставляется с расширенным набором команд и возможностями для сбора дополнительной информации с зараженного устройства.

После загрузки — которая может поступать из разных источников — вариант XAgent для macOS отправляет данные, включая регистрацию нажатий клавиш, на свои серверы управления и контроля с использованием HTTP-запросов POST. Он также активно отправляет GET-запросы для получения дальнейших инструкций, тем самым действуя как троян, за исключением того, что Mac был скомпрометирован без каких-либо внешних признаков. Он также использует алгоритм RC4 для шифрования данных, которые он передает обратно группе, стоящей за этой атакой.

Как и следовало ожидать, на зараженном Mac этот вирус может собирать системную информацию, контролировать данные, загружая, загружая или удаляя их, делать снимки экрана и красть пароли, хранящиеся в Firefox. Кроме того, он использует имеющиеся в его распоряжении элементы управления для поиска резервных копий в BackupIosFolder, а затем извлекает эти данные. Резервные копии iOS не маленькие, что увеличивает риск обнаружения, поэтому мы можем предположить, что он ищет более конкретную информацию, такую ​​как пароли приложений социальных сетей или финансовые данные, прежде чем украсть эти данные и оставить остальную часть резервной копии нетронутой.

Это связано с тем, что на момент обнаружения было неизвестно, где скрывались XAgentOSX и Komplex в Mac. Единственный способ узнать, заражены ли вы, — это проверить трафик из следующих источников:

23.227.196(.)215

apple-iclods(.)org

apple-checker(.)org

яблоко-uptoday (.) org

Apple-поиск (.) информация

72.5.65(.)94

Поскольку XAgentOSX произошел от XAgent, атаки, проведенной под другим названием группы, Pawn Storm, в ходе которой были взломаны iOS-устройства государственных чиновников и журналистов, мы можем ожидать высокого уровня сложности и риска для любого в любом секторе, который может представлять интерес для враждебная группа, поддерживаемая Россией.

Стоит проверить, не заражен ли ваш Mac, и как можно скорее удалить эту кибер-угрозу.

Как удалить Комплекс вручную?

Надеюсь, да, это можно удалить, выполнив следующие действия:

1. Откройте меню Finder
2. Выполните поиск в следующих папках: замените $USER именем вашей домашней папки:
   • /Users/$USER/Library/LaunchAgents/com.apple.updates.plist
   • /Пользователи/Общие/.local/kextd

     

3. Если обнаруживается заражение, удалите эти неожиданные файлы в корзину, удалите их и перезагрузите компьютер.
4. Вернитесь и проверьте, нет ли других признаков инфекции.

Примечание: При удалении любого вируса вручную убедитесь, что вы не удаляете ничего, что действительно нужно вашему Mac для работы.

Как удалить Комплекс с помощью CleanMyMac

Да, с CleanMyMac X. Не нужно беспокоиться об удалении всего, что нужно вашему Mac.

CleanMyMac X — мощный защитник Mac, защищающий ваш Mac от вредоносных программ. Это также важный инструмент повышения производительности, обнаруживающий и удаляющий множество мусора с вашего Mac, благодаря чему он работает как новый.

Когда дело доходит до нежелательных вредоносных программ, вот как вы можете использовать их для восстановления вашего Mac до идеального состояния:

1. Скачать CleanMyMac X
2. Запустите приложение.
3. Нажмите на вкладку Удаление вредоносных программ.
4. Нажмите «Сканировать», чтобы проверить систему на наличие угроз.
5. Нажмите «Удалить», и они исчезнут навсегда.

Komplex и XAgentOSX являются вредоносными программами, и им не место на устройствах Mac. Не каждый антивирусный сканер может обнаружить их, и удалять их вручную не рекомендуется, если вы не уверены, что обнаружили нужные файлы для удаления. С правильным инструментом для защиты вашего Mac вы можете спасти свой Mac от этого вируса.