Taurus Loader
Cyberbrottslingarna bakom Taurus Loader-hotet (även spårat som Taurus Stealer) fortsätter att snabbt förändras och utvecklas på det sätt som deras hotande skapande levereras. Taurus hade imponerande tekniker för undvikande, antidetektion och anti-analys, även i sina första versioner. Men sedan dess har hackarna modifierat varje metod som har avslöjats av infosec-forskare, vilket håller Oxen så relevant och farlig som möjligt.
Den senaste innovationen, upptäckt av forskarna vid Minerva Lab, inkluderar att lura intet ont anande användare att ladda ner och utföra hotet själva. Taurus-operatörerna har satt upp en massa webbplatser som är värd för en instruktions-GIF. Användare som vill skaffa olagliga eller spruckna versioner av upphovsrättsskyddade applikationer genom att söka på Google riskerar att landa på en av dessa lockande webbplatser. GIF guidar sedan besökaren genom de steg som krävs för den förmodade installationen av den önskade programvaruprodukten. Utan att användarna känner till har de kontrollerat förutsättningarna för leverans och körning av Taurus-lastaren på deras system. Det bör noteras att hackarna har gjort CAPTCHA-kontroller för att skydda webbplatsens leverans av hotet från åtkomst av automatiserade verktyg som används av forskare.
En gång inuti enheten kommer Taurus att gå igenom sina olika kontroller för att avgöra om systemet är säkert att fortsätta med dess skadliga funktionalitet. Hotet kontrollerar användarens platser och kommer inte att initieras i något av de nuvarande eller tidigare OSS-länderna - Azerbajdzjan, Armenien, Vitryssland, Georgien, Kazakstan, Kirgizistan, Moldavien, Ryssland, Tadzjikistan, Turkmenistan, Uzbekistan och Ukraina. Den använder en antiemuleringsteknik som involverar Windows API SetErrorMode, använder en beräkningsbaserad anti-analysteknik genom att beräkna summan av Basel-problemet och mer.
Nya Taurus-infektioner upptäcks fortfarande nästan dagligen, trots att hotet analyseras noggrant i flera forskningsrapporter som publicerats av flera säkerhetsleverantörer. Det verkar som om de snabba justeringarna av själva hotet och integrationen av nya infektionsvektorer har cyberkriminella säkerställt att Oxen håller sig vid makten inom skadlig programvara.
