Komplexe Malware: Wichtige Warnsignale erkennen
Erstmals 2017 wiederentdeckt, meldete Bitdefender die Rückkehr von Sofacys XAgent – einer macOS-spezifischen Variante eines Virus, der weltweit Tausende Windows- und Linux-Geräte infiziert hat. Dieses Tool kehrte nicht nur zurück, sondern mit erweiterten Funktionen, darunter dem Diebstahl von iPhone- und iPad-Backups auf Macs.
Kurz darauf analysierte Palo Alto Networks (PAN), ein führender Sicherheitsanbieter mit Expertise in der Virenerkennung und Bedrohungsabwehr, die Malware näher. Komplex, auch bekannt als XAgentOSX, ist nur ein Baustein eines größeren Angriffs.
"Wir glauben, dass Sofacy Komplex nutzt, um XAgentOSX herunterzuladen und seinen erweiterten Befehlssatz auf kompromittierten Systemen einzusetzen", hieß es im PAN-Bericht.
Besonders alarmierend: Die Malware wird der Sofacy Group zugeschrieben – einer russisch-staatlich unterstützten Cyberspionagegruppe (auch Fancy Bear, APT28, Pawn Storm oder Sednit genannt). Diese Gruppe stand hinter Angriffen auf das US-Democratic National Committee (DNC) und die Welt-Anti-Doping-Agentur (WADA). Mit ihren Ressourcen sorgen sie dafür, dass die Malware sich hartnäckig verbreitet und schwer zu erkennen oder zu entfernen ist.
Was ist Komplex und welche Funktionen hat es?
Komplex dient als Launch-Agent für XAgentOSX, das mit erweitertem Befehlssatz mehr Daten von infizierten Geräten extrahiert. Nach dem Download – oft aus getarnten Quellen – protokolliert es Tastenanschläge und sendet Daten via HTTP-POST an Command-and-Control-Server. Gleichzeitig holt es per GET-Anfragen neue Befehle und verschlüsselt den Traffic mit RC4.
Auf infizierten Macs sammelt es Systemdaten, steuert Datei-Uploads/Downloads/Löschungen, erstellt Screenshots, stiehlt Firefox-Passwörter und sucht gezielt iOS-Backups (z. B. aus ~/Library/Application Support/MobileSync/Backup). Diese großen Backups erhöhen das Erkennungsrisiko, deuten aber auf präzise Ziele hin.
Zur Entdeckung 2017 war unbekannt, wo sich XAgentOSX und Komplex versteckten. Überwachen Sie den Traffic zu diesen Servern:
23.227.196[.]215
apple-iclods[.]org
apple-checker[.]org
apple-uptoday[.]org
apple-search[.]info
72.5.65[.]94
Als Abkömmling von Pawn Storms XAgent (das iOS-Geräte von Beamten und Journalisten traf), birgt es hohes Risiko für sensible Sektoren durch russisch-unterstützte Akteure.
Prüfen und entfernen Sie diese Bedrohung umgehend!
Manuelle Entfernung von Komplex
Folgen Sie diesen Schritten sorgfältig:
- Öffnen Sie den Finder.
- Durchsuchen Sie (ersetzen Sie $USER durch Ihren Home-Ordnernamen):
- /Users/$USER/Library/LaunchAgents/com.apple.updates.plist
- /Users/Shared/.local/kextd
- Bei Fund: In Papierkorb, leeren und neu starten.
- Weitere Scans durchführen.
Hinweis: Löschen Sie nur verdächtige Dateien – vermeiden Sie Systemdateien.
Komplex sicher mit CleanMyMac X entfernen
Verwenden Sie CleanMyMac X für risikofreie Reinigung.
CleanMyMac X, bewährtes Tool von MacPaw, schützt vor Malware, entfernt Junk und optimiert Leistung. So gehen Sie vor:
- CleanMyMac X herunterladen.
- App starten.
- Malware-Entfernung auswählen.
- Scannen und Bedrohungen entfernen.
Komplex und XAgentOSX sind hochgefährlich. Nicht jeder Scanner erkennt sie – CleanMyMac X schützt zuverlässig Ihren Mac.