IconDown
Många cyberkrokar runt om i världen litar på att trojanska nedladdare infiltrerar ett riktat system och injicerar ytterligare skadlig programvara i det. För att göra jobbet med skadlig programforskare svårare, skulle skådespelare som sprider trojanska nedladdare ofta dölja deras kod kraftigt och göra att deras skapelse verkar ofarlig. På detta sätt kan Trojan-nedladdaren undvika upptäckt med anti-malware-verktyg och säkerhetskontroller. Nyligen har cybersecurity-experter upptäckt en ny Trojan-nedladdare som hävdar offer online - IconDown. IconDown-nedladdaren tros vara skapandet av en hacking-grupp som kallas BlackTech.
Målföretag i Japan
BlackTech-hacking-gruppen tros komma från Asien, eftersom de flesta av deras mål finns i detta område. Malware-experter har hållit ett öga på BlackTech-gruppen, och det blev tydligt att de tenderar att följa japanska företag som huvudsakligen verkar inom olika branscher. IkonDown Trojan-nedladdaren lyser inte med sina funktioner, men BlackTech-hacking-gruppen har implementerat en intressant teknik när det gäller att dölja syftet med detta hot. Denna metod kallas steganografi.
Använder steganografi för att utföra attacken
BlackTech-hacking-gruppen verkar ha använt noggrant anpassade phishing-e-postmeddelanden för att infiltrera de riktade värdarna. Dessa e-postmeddelanden skulle innehålla ett skadat bifogat dokument, som vid lansering skulle utlösa exekveringen av IconDown-hotets nyttolast. Därefter skulle IconDown Trojan-nedladdaren ta tag i de sekundära nyttolasten, som hotet är avsett att plantera på det infekterade systemet med hjälp av steganography. Den här nedladdaren hämtar en bild som innehåller en viss sträng som hjälper till att hitta 256 byte data som fungerar som RC4-nyckeln som behövs av angriparna. Därefter kommer resten av data som IconDown-nedladdaren behöver från bildfilen att placeras och samlas in i en bärbar körbar fil och startas.
Förslöjningsmetoden som används av hackinggruppen BlackTech är ganska imponerande, och företag i Japan måste instruera sina anställda att vara mycket försiktiga när de öppnar e-post från okända källor, eftersom det kan kosta företaget dyrt.
