Taurus Loader

Taurus Loaderの脅威（Taurus Stealerとしても追跡されます）の背後にあるサイバー犯罪者は、脅威となる創造物の配信方法を急速に変化させ、進化させ続けています。 Taurusは、初期バージョンでも、印象的な回避、検出防止、分析防止の手法を備えていました。しかし、それ以来、ハッキングはinfosecの研究者によって発見された各方法を変更し、Taurusを可能な限り関連性のある危険な状態に保ちました。

ミネルバラボの研究者によって発見された最新のイノベーションには、疑いを持たないユーザーをだまして脅威をダウンロードして実行させることが含まれています。おうし座のオペレーターは、教育用GIFをホストする多数のWebサイトを設定しました。 Googleを検索して、著作権で保護されたアプリケーションの違法またはクラックされたバージョンを入手したいユーザーは、これらのルアーWebサイトの1つにアクセスするリスクがあります。次に、GIFは、目的のソフトウェア製品の想定されるインストールに必要な手順を訪問者に案内します。ユーザーには知られていないが、彼らはシステム上でTaurusローダーを配信および実行するための前提条件を確認している。ハッカーは、研究者によって展開された自動ツールによるアクセスからサイトの脅威を配信することを保護するために、CAPTCHAチェックを設定していることに注意してください。

デバイス内に入ると、Taurusはさまざまなチェックを実行して、システムが有害な機能を安全に続行できるかどうかを判断します。この脅威はユーザーの場所をチェックし、現在または過去のCIS諸国（アゼルバイジャン、アルメニア、ベラルーシ、ジョージア、カザフスタン、キルギスタン、モルドバ、ロシア、タジキスタン、トルクメニスタン、ウズベキスタン、ウクライナ）では開始されません。これは、Windows API SetErrorModeを含むエミュレーション防止手法を使用し、バーゼル問題などの合計を計算することにより、計算ベースの分析防止手法を採用しています。

いくつかのセキュリティベンダーが発行した複数の調査レポートで脅威が徹底的に分析されているにもかかわらず、新しいトーラス感染はほぼ毎日検出されています。脅威自体の急速な調整と新しい感染ベクトルの統合により、サイバー犯罪者はTaurusがマルウェアの世界で権力を維持していることを確認したようです。