IconDown
Monet tietoverkkokysymykset ympäri maailmaa luottavat troijalaisten lataajiin tunkeutuakseen kohdistettuun järjestelmään ja injektoimaan siihen lisää haittaohjelmia. Jotta haittaohjelmatutkijoiden työ olisi vaikeampaa, troijalaisten lataajia levittävät toimijat hämärtävät heidän koodinsa usein voimakkaasti ja tekevät niiden luomisesta vaikeaa. Tällä tavalla troijalainen lataaja voi välttää onnistuneen havaitsemisen haittaohjelmien torjuntatyökaluilla ja turvallisuustarkastuksia. Äskettäin kyberturvallisuuden asiantuntijat ovat huomanneet uuden troijalaisen lataajan, joka väittää uhreja verkossa - IconDown. IconDown-latausohjelman uskotaan olevan BlackTech-nimisen hakkerointiryhmän luominen.
Kohdentaa yrityksiä Japanissa
BlackTech-hakkerointiryhmän uskotaan olevan peräisin Aasiasta, koska suurin osa heidän kohteistaan sijaitsee tällä alueella. Haittaohjelmien asiantuntijat ovat seuranneet BlackTech-ryhmää, ja kävi ilmeiseksi, että he yleensä seuraavat useilla aloilla toimivia japanilaisia yrityksiä. IconDown Trojan -latausohjelma ei loista kyvyistään, mutta BlackTech-hakkerointiryhmä on ottanut käyttöön mielenkiintoisen tekniikan tämän uhan tarkoituksen hävittämiseksi. Tätä menetelmää kutsutaan steganografiaksi.
Käyttää hyökkäyksen suorittamiseen steganografiaa
BlackTech-hakkerointiryhmä näyttää käyttäneen huolellisesti räätälöityjä tietojenkalastelusähköposteja tunkeutuakseen kohdistettuihin isäntiin. Nämä sähköpostit sisältävät vioittuneen liitteenä olevan asiakirjan, joka käynnistämisen yhteydessä laukaisi IconDown-uhan hyötykuorman. Seuraavaksi IconDown Trojan -latausohjelma tarttuisi toissijaisiin hyötykuormiin, joiden uhan tarkoituksena on istuttaa tartunnan saaneeseen järjestelmään steganografiaa käyttämällä. Tämä lataaja hakee kuvan, joka sisältää tietyn merkkijonon, joka auttaa paikantamaan 256 tavua dataa, joka toimii hyökkääjien tarvitsemana RC4-avaimena. Sitten loput tiedot, joita IconDown-latausohjelma tarvitsee kuvatiedostosta, etsitään ja kerätään kannettavaan suoritettavaan tiedostoon ja käynnistetään.
BlackTech-hakkerointiryhmän käyttämä hämärtämismenetelmä on melko vaikuttava, ja japanilaisten yritysten on kehotettava työntekijöitään olemaan erityisen varovaisia avaamalla tuntemattomista lähteistä lähetettyjä sähköposteja, koska tämä saattaa johtaa liiketoiminnan kalliiksi maksamiseen.
