Taurus Loader
De cybercriminelen achter de Taurus Loader-dreiging (ook gevolgd als Taurus Stealer) blijven snel veranderen en evolueren de manier waarop hun bedreigende creatie wordt afgeleverd. Taurus beschikte over indrukwekkende ontwijkings-, anti-detectie- en anti-analysetechnieken, zelfs in de eerste versies. Sindsdien hebben de hacks echter elke methode aangepast die is ontdekt door infosec-onderzoekers, waardoor Taurus zo relevant en gevaarlijk mogelijk is gebleven.
De nieuwste innovatie, gespot door de onderzoekers van Minerva Lab, omvat het misleiden van nietsvermoedende gebruikers om de dreiging zelf te downloaden en uit te voeren. De Taurus-operators hebben een aantal websites opgezet die een instructie-GIF hosten. Gebruikers die illegale of gekraakte versies van auteursrechtelijk beschermde applicaties willen verkrijgen door te zoeken op Google, lopen het risico op een van deze lokwebsites terecht te komen. De GIF leidt de bezoeker vervolgens door de stappen die nodig zijn voor de veronderstelde installatie van het gewenste softwareproduct. Buiten het medeweten van de gebruikers hebben ze de voorwaarden voor de levering en uitvoering van de Taurus-lader op hun systemen gecontroleerd. Opgemerkt moet worden dat de hackers CAPTCHA-controles hebben uitgevoerd om te voorkomen dat de site de dreiging aflevert tegen toegang door geautomatiseerde tools die door onderzoekers worden ingezet.
Eenmaal in het apparaat zal Taurus de verschillende controles doorlopen om te bepalen of het systeem veilig is om door te gaan met zijn schadelijke functionaliteit. De dreiging controleert de locaties van de gebruiker en wordt niet gestart in een van de huidige of vroegere GOS-landen - Azerbeidzjan, Armenië, Wit-Rusland, Georgië, Kazachstan, Kirgizië, Moldavië, Rusland, Tadzjikistan, Turkmenistan, Oezbekistan en Oekraïne. Het maakt gebruik van een anti-emulatietechniek met de Windows API SetErrorMode, maakt gebruik van een op berekeningen gebaseerde anti-analysetechniek door de som van het Basel-probleem te berekenen en meer.
Er worden nog steeds bijna dagelijks nieuwe Taurus-infecties gedetecteerd, ondanks dat de dreiging grondig wordt geanalyseerd in meerdere onderzoeksrapporten die door verschillende beveiligingsleveranciers zijn gepubliceerd. Het lijkt erop dat met de snelle aanpassingen van de dreiging zelf en de integratie van nieuwe infectievectoren, de cybercriminelen ervoor hebben gezorgd dat Taurus aan de macht blijft binnen het malwarelandschap.
