IconDown
De nombreux cyber-escrocs du monde entier comptent sur les téléchargeurs de chevaux de Troie pour infiltrer un système ciblé et y injecter des logiciels malveillants supplémentaires. Pour rendre le travail des chercheurs de logiciels malveillants plus difficile, les escrocs qui propagent des téléchargeurs de chevaux de Troie obscurciraient souvent leur code et rendraient leur création inoffensive. De cette façon, le téléchargeur de chevaux de Troie peut éviter la détection par des outils anti-malware et les contrôles de sécurité avec succès. Récemment, des experts en cybersécurité ont repéré un nouveau téléchargeur de chevaux de Troie faisant des victimes en ligne - IconDown. Le téléchargeur IconDown serait la création d'un groupe de piratage appelé BlackTech.
Cible les entreprises au Japon
Le groupe de piratage BlackTech serait originaire d'Asie, car la plupart de leurs cibles se trouvent dans cette zone. Les experts en logiciels malveillants ont gardé un œil sur le groupe BlackTech, et il est devenu évident qu'ils ont tendance à s'attaquer principalement aux entreprises japonaises opérant dans divers secteurs. Le téléchargeur de chevaux de Troie IconDown ne brille pas par ses capacités, mais le groupe de piratage BlackTech a mis en œuvre une technique intéressante lorsqu'il s'agit de masquer l'objectif de cette menace. Cette méthode est appelée stéganographie.
Utilise la stéganographie pour réaliser l'attaque
Le groupe de piratage BlackTech semble avoir utilisé des e-mails de phishing soigneusement adaptés pour infiltrer les hôtes ciblés. Ces e-mails contiendraient un document joint corrompu, qui, au lancement, déclencherait l'exécution de la charge utile de la menace IconDown. Ensuite, le téléchargeur de chevaux de Troie IconDown récupérerait les charges utiles secondaires, que la menace est censée planter sur le système infecté, en utilisant la stéganographie. Ce téléchargeur récupère une image qui contient une chaîne particulière, ce qui aide à localiser les 256 octets de données qui servent de clé RC4 dont les attaquants ont besoin. Ensuite, le reste des données dont le téléchargeur IconDown a besoin à partir du fichier image sera localisé et collecté dans un fichier exécutable portable et lancé.
La méthode d'obscurcissement utilisée par le groupe de piratage BlackTech est plutôt impressionnante, et les entreprises au Japon doivent demander à leurs employés d'être très prudents lors de l'ouverture d'e-mails provenant de sources inconnues, car cela pourrait finir par coûter cher à l'entreprise.
