Taurus Loader
Cyberprzestępcy stojący za zagrożeniem Taurus Loader (śledzonym również jako Taurus Stealer) nadal szybko się zmieniają i ewoluują w sposób, w jaki dostarczane są ich groźne kreacje. Taurus posiadał imponujące techniki unikania, antywykrywania i antyanalizy, nawet w swoich początkowych wersjach. Jednak od tego czasu hacki zmodyfikowały każdą metodę odkrytą przez badaczy infosec, utrzymując Byka tak istotnego i niebezpiecznego, jak to tylko możliwe.
Najnowsza innowacja, zauważona przez badaczy z Minerva Lab, obejmuje nakłanianie niczego niepodejrzewających użytkowników do samodzielnego pobrania i wykonania zagrożenia. Operatorzy Taurusa założyli kilka stron internetowych z instruktażowym GIF-em. Użytkownicy, którzy chcą uzyskać nielegalne lub złamane wersje aplikacji chronionych prawami autorskimi, przeszukując Google, ryzykują wylądowanie na jednej z tych witryn z przynętami. GIF poprowadzi następnie odwiedzającego przez kroki wymagane do przypuszczalnej instalacji żądanego oprogramowania. Bez wiedzy użytkowników sprawdzali warunki dostawy i wykonania ładowarki Taurus w swoich systemach. Należy zauważyć, że hakerzy umieścili testy CAPTCHA, aby chronić witrynę dostarczającą zagrożenie przed dostępem zautomatyzowanych narzędzi wdrożonych przez badaczy.
Po wejściu do urządzenia Taurus przeprowadzi różne testy, aby określić, czy system jest bezpieczny, aby kontynuować jego szkodliwą funkcjonalność. Zagrożenie sprawdza lokalizacje użytkownika i nie zostanie zainicjowane w żadnym z obecnych ani byłych krajów WNP – Azerbejdżanu, Armenii, Białorusi, Gruzji, Kazachstanu, Kirgistanu, Mołdawii, Rosji, Tadżykistanu, Turkmenistanu, Uzbekistanu i Ukrainy. Wykorzystuje technikę antyemulacyjną obejmującą SetErrorMode interfejsu API systemu Windows, wykorzystuje technikę antyanalizy opartą na obliczeniach, obliczając sumę problemu z Bazylei i nie tylko.
Nowe infekcje Taurus są nadal wykrywane prawie codziennie, mimo że zagrożenie zostało dokładnie przeanalizowane w wielu raportach badawczych opublikowanych przez kilku dostawców zabezpieczeń. Wygląda na to, że dzięki szybkim poprawkom samego zagrożenia i integracji nowych wektorów infekcji cyberprzestępcy zapewnili, że Taurus pozostaje u władzy w krajobrazie złośliwego oprogramowania.
