IconDown
Viele Cyber-Gauner auf der ganzen Welt verlassen sich auf Trojaner-Downloader, um ein Zielsystem zu infiltrieren und zusätzliche Malware einzuschleusen. Um die Arbeit von Malware-Forschern zu erschweren, verschleiern Betrüger, die Trojaner-Downloader verbreiten, häufig ihren Code und lassen ihre Erstellung harmlos erscheinen. Auf diese Weise kann der Trojaner-Downloader die Erkennung durch Anti-Malware-Tools und Sicherheitsüberprüfungen erfolgreich verhindern. Kürzlich haben Cybersicherheitsexperten einen neuen Trojaner-Downloader entdeckt, der Opfer im Internet fordert - IconDown. Es wird angenommen, dass der IconDown-Downloader die Gründung einer Hacking-Gruppe namens BlackTech ist.
Ziele Unternehmen in Japan
Es wird angenommen, dass die BlackTech-Hacking-Gruppe aus Asien stammt, da sich die meisten ihrer Ziele in diesem Bereich befinden. Malware-Experten haben die BlackTech-Gruppe im Auge behalten, und es wurde deutlich, dass sie in der Regel japanische Unternehmen verfolgen, die hauptsächlich in verschiedenen Branchen tätig sind. Der IconDown-Trojaner-Downloader glänzt nicht mit seinen Fähigkeiten, aber die BlackTech-Hacking-Gruppe hat eine interessante Technik implementiert, um den Zweck dieser Bedrohung zu verschleiern. Diese Methode nennt man Steganographie.
Verwendet Steganographie, um den Angriff auszuführen
Die BlackTech-Hacking-Gruppe scheint sorgfältig abgestimmte Phishing-E-Mails verwendet zu haben, um die betroffenen Hosts zu infiltrieren. Diese E-Mails enthalten ein beschädigtes angefügtes Dokument, das beim Start die Ausführung der Nutzdaten der IconDown-Bedrohung auslöst. Als Nächstes greift der Downloader des IconDown-Trojaners mithilfe der Steganografie auf die sekundären Nutzdaten zu, die die Bedrohung für das infizierte System darstellen soll. Dieser Downloader ruft ein Bild ab, das eine bestimmte Zeichenfolge enthält, mit deren Hilfe die 256 Datenbytes gefunden werden können, die als RC4-Schlüssel für die Angreifer erforderlich sind. Anschließend werden die restlichen Daten, die der IconDown-Downloader aus der Image-Datei benötigt, in einer Portable Executable-Datei gesammelt und gestartet.
Die von der BlackTech-Hacking-Gruppe verwendete Verschleierungsmethode ist ziemlich beeindruckend, und Unternehmen in Japan müssen ihre Mitarbeiter anweisen, beim Öffnen von E-Mails aus unbekannten Quellen sehr vorsichtig zu sein, da dies das Geschäft teuer werden könnte.
