IconDown
Veel cyberboeven over de hele wereld vertrouwen op Trojan-downloaders om een gericht systeem te infiltreren en er extra malware in te injecteren. Om het werk van malware-onderzoekers moeilijker te maken, zouden oplichters die Trojaanse downloaders propageren hun code vaak zwaar verdoezelen en hun creatie onschadelijk maken. Op deze manier kan de Trojan-downloader detectie door anti-malwaretools en beveiligingscontroles met succes voorkomen. Onlangs hebben cybersecurity-experts een nieuwe Trojan-downloader gezien die online slachtoffers eist - IconDown. De IconDown-downloader wordt verondersteld de oprichting te zijn van een hackgroep genaamd BlackTech.
Doelen bedrijven in Japan
De BlackTech-hackgroep is waarschijnlijk afkomstig uit Azië, omdat de meeste van hun doelen zich in dit gebied bevinden. Malware-experts hebben de BlackTech-groep in de gaten gehouden, en het werd duidelijk dat ze Japanse bedrijven die voornamelijk in verschillende industrieën actief zijn, vaak volgen. De Trojan-downloader van IconDown schittert niet met zijn mogelijkheden, maar de hackinggroep van BlackTech heeft een interessante techniek geïmplementeerd als het gaat om het doel van deze bedreiging te verhullen. Deze methode wordt steganografie genoemd.
Gebruikt steganografie om de aanval uit te voeren
De BlackTech-hackgroep lijkt zorgvuldig op maat gemaakte phishing-e-mails te hebben gebruikt om de beoogde hosts te infiltreren. Deze e-mails zouden een beschadigd bijgevoegd document bevatten, dat bij het opstarten de payload van de dreiging van IconDown zou activeren. Vervolgens zou de IconDown Trojan-downloader de secundaire payloads pakken, die de dreiging op het geïnfecteerde systeem moet planten, met behulp van steganografie. Deze downloader haalt een afbeelding op die een bepaalde string bevat, die helpt bij het vinden van de 256 bytes aan gegevens die dienen als de RC4-sleutel die de aanvallers nodig hebben. Vervolgens worden de overige gegevens die de IconDown-downloader uit het afbeeldingsbestand nodig heeft, gelokaliseerd en verzameld in een Portable Executable-bestand en gelanceerd.
De verduisteringsmethode die door de BlackTech-hackgroep wordt gebruikt, is vrij indrukwekkend en bedrijven in Japan moeten hun werknemers instrueren zeer op hun hoede te zijn bij het openen van e-mails van onbekende bronnen, omdat dit het bedrijf duur kan gaan kosten.
