Taurus Loader

Taurus Loader 威胁（也被称为 Taurus Stealer）背后的网络犯罪分子正在继续快速改变和演变他们的威胁创造的交付方式。即使在最初的版本中，金牛座也拥有令人印象深刻的规避、反检测和反分析技术。然而，从那时起，黑客修改了信息安全研究人员发现的每种方法，使 Taurus 尽可能保持相关性和危险性。

Minerva 实验室的研究人员发现的最新创新包括诱骗毫无戒心的用户自己下载和执行威胁。 Taurus 运营商已经设置了一堆托管教学 GIF 的网站。希望通过搜索 Google 来获取受版权保护的应用程序的非法或破解版本的用户可能会登陆这些诱饵网站之一。然后，GIF 将引导访问者完成所需软件产品的假定安装所需的步骤。在用户不知情的情况下，他们一直在检查 Taurus 加载程序在其系统上的交付和执行的先决条件。应该注意的是，黑客已经进行了 CAPTCHA 检查，以保护该站点的威胁不被研究人员部署的自动化工具访问。

一旦进入设备，Taurus 将进行各种检查，以确定系统是否可以安全地继续其有害功能。该威胁会检查用户的位置，并且不会在任何当前或过去的独联体国家发起 - 阿塞拜疆、亚美尼亚、白俄罗斯、格鲁吉亚、哈萨克斯坦、吉尔吉斯斯坦、摩尔多瓦、俄罗斯、塔吉克斯坦、土库曼斯坦、乌兹别克斯坦和乌克兰。它使用涉及 Windows API SetErrorMode 的反仿真技术，通过计算巴塞尔问题的总和等采用基于计算的反分析技术。

尽管几家安全供应商发布的多份研究报告都对威胁进行了彻底分析，但几乎每天都会检测到新的 Taurus 感染。似乎随着威胁本身的快速调整和新感染媒介的整合，网络犯罪分子已经确保 Taurus 在恶意软件领域保持统治地位。