IconDown
全世界許多網絡騙子都依賴Trojan下載程序來滲透目標系統並向其中註入其他惡意軟件。為了使惡意軟件研究人員的工作更加困難,傳播特洛伊木馬下載程序的參與者通常會嚴重混淆其代碼,並使其創作看起來無害。這樣,特洛伊木馬下載程序可能會成功避免反惡意軟件工具的檢測和安全檢查。最近,網絡安全專家發現了一個新的Trojan下載程序,聲稱其在線受害者-IconDown。 IconDown下載器被認為是一個名為BlackTech的黑客組織的創建。
針對日本的企業
BlackTech黑客集團被認為起源於亞洲,因為他們的大多數目標都位於該地區。惡意軟件專家一直在關注BlackTech小組,而且很明顯,他們傾向於主要關注在各個行業運營的日本公司。 IconDown Trojan下載器的功能並不出色,但是在混淆這種威脅的目的時,BlackTech黑客組織已實施了一種有趣的技術。此方法稱為隱寫術。
使用隱寫術進行攻擊
BlackTech黑客小組似乎使用了精心設計的網絡釣魚電子郵件來滲透目標主機。這些電子郵件將包含損壞的附加文檔,該文檔在啟動時將觸發IconDown威脅的有效負載的執行。接下來,IconDown Trojan下載程序將使用隱寫術來獲取次要有效載荷,該威脅旨在將其植入受感染的系統中。該下載程序獲取包含特定字符串的圖像,這有助於查找256字節的數據,這些數據用作攻擊者所需的RC4密鑰。然後,將找到IconDown下載程序從圖像文件中需要的其餘數據,並將其收集到Portable Executable文件中並啟動。
BlackTech黑客組織使用的混淆方法相當令人印象深刻,日本公司需要指示其員工在打開來自未知來源的電子郵件時要非常警惕,因為這最終可能使企業付出高昂的代價。
