IconDown
A világon számos számítógépes csaló támaszkodik a trójai letöltőkre, hogy beszivárogjanak a megcélzott rendszert, és újabb rosszindulatú programokat fecskendezjenek be benne. A rosszindulatú programok kutatóinak munkájának megnehezítése érdekében a trójai letöltőket terjesztő szereplők gyakran erősen tompítják kódjukat, és létrehozásuk ártalmatlannak tűnik. Ilyen módon a trójai letöltő elkerülheti a rosszindulatú programok elleni észlelést és a biztonsági ellenőrzéseket. A közelmúltban a kiberbiztonsági szakértők egy új trójai letöltőt észleltek online áldozatokra - IconDown. Az IconDown letöltőről úgy gondolják, hogy egy BlackTech nevű hackelési csoportot hoztak létre.
Célja Japán vállalkozásaira
Úgy gondolják, hogy a BlackTech hackeléscsoport Ázsiából származik, mivel célpontjaik többsége ezen a helyen található. A rosszindulatú programok szakértői folyamatosan figyelemmel kísérik a BlackTech csoportot, és nyilvánvalóvá vált, hogy inkább a különféle iparágakban működő japán vállalatokat követik. Az IconDown trójai letöltője nem élvezi képességeit, de a BlackTech hackerek csoportja érdekes technikát hajtott végre, amikor e fenyegetés célja megszüntetésére kerül sor. Ezt a módszert szteganográfiának nevezzük.
A támadás végrehajtásához szteganográfiát használ
Úgy tűnik, hogy a BlackTech hackerek csoportja gondosan testreszabott adathalász e-maileket használt a beszűrődésekhez a megcélzott gazdagépeken. Ezek az e-mailek sérült csatolt dokumentumot tartalmaznának, amely indításukkor megindítja az IconDown fenyegetés hasznos teherének végrehajtását. Ezután az IconDown trójai letöltő megragadná a másodlagos hasznos tehercsomagokat, amelyeket a fenyegetés célja a fertőzött rendszeren ültetni szteganográfia segítségével. Ez a letöltő lekér egy képet, amely egy adott karakterláncot tartalmaz, és amely segítséget nyújt a 256 bájtnyi adat megkeresésében, amely RC4-kulcsként szolgál a támadók számára. Ezután az adatok többi részét, amelyre az IconDown letöltőnek szüksége van a képfájlból, megkeresik, majd összegyűjtik egy hordozható végrehajtható fájlba, és elindítják.
A BlackTech hackeléscsoport által használt obfuzációs módszer meglehetősen lenyűgöző, és a japán vállalatoknak azt kell utasítaniuk alkalmazottaikat, hogy nagyon óvatosak legyenek az ismeretlen forrásokból származó e-mailek megnyitásakor, mivel ez az üzletnek drága költségeket eredményezhet.
