IconDown
Muchos delincuentes cibernéticos en todo el mundo confían en los descargadores de troyanos para infiltrarse en un sistema de destino e inyectar malware adicional en él. Para dificultar el trabajo de los investigadores de malware, los estafadores que propagan los descargadores de troyanos a menudo ofuscan su código y hacen que su creación parezca inofensiva. De esta manera, el descargador de troyanos puede evitar la detección con éxito de herramientas antimalware y controles de seguridad. Recientemente, los expertos en ciberseguridad han descubierto un nuevo descargador de troyanos que reclama víctimas en línea: IconDown. Se cree que el descargador de IconDown es la creación de un grupo de piratería llamado BlackTech.
Se dirige a las empresas en Japón
Se cree que el grupo de piratería BlackTech es originario de Asia, ya que la mayoría de sus objetivos se encuentran en esta área. Los expertos en malware han estado vigilando al grupo BlackTech, y se hizo evidente que tienden a perseguir a las empresas japonesas que operan principalmente en diversas industrias. El descargador de troyanos IconDown no brilla con sus capacidades, pero el grupo de piratería BlackTech ha implementado una técnica interesante cuando se trata de ofuscar el propósito de esta amenaza. Este método se llama esteganografía.
Utiliza esteganografía para llevar a cabo el ataque
El grupo de piratería BlackTech parece haber usado correos electrónicos de phishing cuidadosamente diseñados para infiltrarse en los hosts objetivo. Estos correos electrónicos contendrían un documento adjunto dañado que, al iniciarse, desencadenaría la ejecución de la carga útil de la amenaza IconDown. A continuación, el descargador de troyanos IconDown tomaría las cargas secundarias, que la amenaza está destinada a plantar en el sistema infectado, utilizando esteganografía. Este descargador obtiene una imagen que contiene una cadena particular, lo que ayuda a localizar los 256 bytes de datos que sirven como la clave RC4 que necesitan los atacantes. Luego, el resto de los datos que necesita el descargador IconDown del archivo de imagen se ubicará y se recopilará en un archivo ejecutable portátil y se iniciará.
El método de ofuscación utilizado por el grupo de piratería BlackTech es bastante impresionante, y las empresas en Japón deben instruir a sus empleados para que sean muy cautelosos al abrir correos electrónicos de fuentes desconocidas, ya que esto puede terminar costando mucho el negocio.
