Телец-погрузчик

Киберпреступники, стоящие за угрозой Taurus Loader (также известной как Taurus Stealer), продолжают быстро меняться и развивать способ доставки своего угрожающего творения. Даже в своих первоначальных версиях Телец обладал впечатляющими техниками уклонения, защиты от обнаружения и анализа. Однако с тех пор хаки изменили каждый метод, обнаруженный исследователями информационной безопасности, сделав Taurus максимально актуальным и опасным.

Последнее нововведение, обнаруженное исследователями Minerva Lab, включает в себя обман ничего не подозревающих пользователей, чтобы они сами загрузили и выполнили угрозу. Операторы Taurus создали несколько веб-сайтов, на которых размещается обучающий GIF. Пользователи, которые хотят получить незаконные или взломанные версии приложений, защищенных авторским правом, путем поиска в Google, рискуют попасть на один из этих веб-сайтов-приманок. Затем GIF проведет посетителя через шаги, необходимые для предполагаемой установки желаемого программного продукта. Без ведома пользователей, они проверяли предварительные условия для доставки и запуска загрузчика Taurus в своих системах. Следует отметить, что хакеры установили проверки CAPTCHA, чтобы защитить сайт, доставляющий угрозу, от доступа автоматизированных инструментов, развернутых исследователями.

Оказавшись внутри устройства, Телец проведет различные проверки, чтобы определить, безопасна ли система для продолжения своей вредоносной функции. Угроза проверяет местонахождение пользователя и не запускается ни в одной из нынешних или бывших стран СНГ - Азербайджана, Армении, Беларуси, Грузии, Казахстана, Кыргызстана, Молдовы, России, Таджикистана, Туркменистана, Узбекистана и Украины. Он использует технику антиэмуляции, включающую Windows API SetErrorMode, применяет основанную на вычислениях технику антианализа, вычисляя сумму проблемы Базеля и многое другое.

Новые заражения Taurus по-прежнему обнаруживаются почти ежедневно, несмотря на то, что угроза тщательно анализируется в многочисленных исследовательских отчетах, опубликованных несколькими поставщиками средств безопасности. Похоже, что благодаря быстрой корректировке самой угрозы и интеграции новых векторов заражения киберпреступники обеспечили сохранение власти Taurus в среде вредоносных программ.