Taurus Loader

Cyberkriminelle bag Taurus Loader-truslen (også sporet som Taurus Stealer) fortsætter med at ændre sig hurtigt og udvikle sig, hvordan deres truende skabelse leveres. Taurus havde imponerende unddragelses-, antidetektions- og anti-analyseteknikker, selv i de oprindelige versioner. Men siden da har hackerne ændret hver metode, der er blevet afdækket af infosec-forskere, hvilket holder Tyren så relevant og farlig som muligt.

Den seneste innovation, der er set af forskerne ved Minerva Lab, inkluderer at narre intetanende brugere til at downloade og udføre truslen selv. Taurus-operatørerne har sat en masse hjemmesider, der er vært for en instruktions-GIF. Brugere, der ønsker at få ulovlige eller revnede versioner af ophavsretligt beskyttede applikationer ved at søge på Google, risikerer at lande på et af disse lokkewebsteder. GIF guider derefter den besøgende gennem de nødvendige trin til den påståede installation af det ønskede softwareprodukt. Uden at brugerne ved det, har de kontrolleret forudsætningerne for levering og udførelse af Taurus-læsseren på deres systemer. Det skal bemærkes, at hackerne har foretaget CAPTCHA-kontroller for at beskytte webstedets levering af truslen mod adgang fra automatiserede værktøjer, der anvendes af forskere.

Når de er inde i enheden, vil Taurus gennemgå sine forskellige kontroller for at afgøre, om systemet er sikkert at fortsætte med dets skadelige funktionalitet. Truslen kontrollerer brugerens placeringer og starter ikke i nogen af de nuværende eller tidligere SNG-lande - Aserbajdsjan, Armenien, Hviderusland, Georgien, Kasakhstan, Kirgisistan, Moldova, Rusland, Tadsjikistan, Turkmenistan, Usbekistan og Ukraine. Det bruger en antiemuleringsteknik, der involverer Windows API SetErrorMode, anvender en beregningsbaseret anti-analyseteknik ved at beregne summen af Basel-problemet og mere.

Nye Taurus-infektioner opdages stadig næsten dagligt, på trods af at truslen analyseres grundigt i flere forskningsrapporter offentliggjort af flere sikkerhedsleverandører. Det ser ud til, at cyberkriminelle med de hurtige justeringer af selve truslen og integrationen af nye infektionsvektorer har sikret, at Taurus forbliver ved magten inden for malware-landskabet.