Taurus Loader

Taurus Loader 威脅（也被稱為 Taurus Stealer）背後的網絡犯罪分子正在繼續快速改變和演變他們的威脅創造的交付方式。即使在最初的版本中，金牛座也擁有令人印象深刻的規避、反檢測和反分析技術。然而，從那時起，黑客修改了信息安全研究人員發現的每種方法，使 Taurus 盡可能保持相關性和危險性。

Minerva 實驗室的研究人員發現的最新創新包括誘騙毫無戒心的用戶自己下載和執行威脅。 Taurus 運營商已經設置了一堆託管教學 GIF 的網站。希望通過搜索 Google 來獲取受版權保護的應用程序的非法或破解版本的用戶可能會登陸這些誘餌網站之一。然後，GIF 將引導訪問者完成所需軟件產品的假定安裝所需的步驟。在用戶不知情的情況下，他們一直在檢查在其係統上交付和執行 Taurus 加載程序的先決條件。應該注意的是，黑客已經進行了 CAPTCHA 檢查，以保護該站點的威脅不被研究人員部署的自動化工具訪問。

一旦進入設備，Taurus 將進行各種檢查，以確定係統是否可以安全地繼續其有害功能。該威脅會檢查用戶的位置，並且不會在任何當前或過去的獨聯體國家發起 - 阿塞拜疆、亞美尼亞、白俄羅斯、格魯吉亞、哈薩克斯坦、吉爾吉斯斯坦、摩爾多瓦、俄羅斯、塔吉克斯坦、土庫曼斯坦、烏茲別克斯坦和烏克蘭。它使用涉及 Windows API SetErrorMode 的反仿真技術，通過計算巴塞爾問題的總和等採用基於計算的反分析技術。

儘管幾家安全供應商發布的多份研究報告都對威脅進行了徹底分析，但幾乎每天都會檢測到新的 Taurus 感染。似乎隨著威脅本身的快速調整和新感染媒介的整合，網絡犯罪分子已經確保 Taurus 在惡意軟件領域保持統治地位。