IconDown
全世界许多网络骗子都依赖Trojan下载程序来渗透目标系统并向其中注入其他恶意软件。为了使恶意软件研究人员的工作更加困难,传播特洛伊木马下载程序的参与者通常会严重混淆其代码,并使他们的创作看起来无害。这样,特洛伊木马下载程序可能会成功避免反恶意软件工具的检测和安全检查。最近,网络安全专家发现了一个新的Trojan下载程序,声称其在线受害者-IconDown。 IconDown下载器被认为是一个名为BlackTech的黑客组织的创建。
针对日本的企业
BlackTech黑客集团被认为起源于亚洲,因为他们的大多数目标都位于该地区。恶意软件专家一直在关注BlackTech集团,而且很明显,他们倾向于主要关注在各个行业运营的日本公司。 IconDown Trojan下载器的功能并不强大,但是BlackTech黑客组织在混淆这种威胁的目的时已实施了一种有趣的技术。此方法称为隐写术。
使用隐写术进行攻击
BlackTech黑客小组似乎使用了精心设计的网络钓鱼电子邮件来渗透目标主机。这些电子邮件将包含已损坏的附加文档,该文档在启动时将触发IconDown威胁的有效负载的执行。接下来,IconDown Trojan下载程序将使用隐写术获取次要有效载荷,该威胁旨在将其植入受感染的系统中。该下载程序获取包含特定字符串的图像,这有助于查找256字节的数据,这些数据用作攻击者所需的RC4密钥。然后,将找到IconDown下载程序从图像文件中需要的其余数据,并将其收集到Portable Executable文件中并启动。
BlackTech黑客组织使用的混淆方法相当令人印象深刻,日本公司需要指示其员工在打开来自未知来源的电子邮件时要非常警惕,因为这最终可能使企业付出高昂的代价。
