Taurus Loader

Les cybercriminels à l'origine de la menace Taurus Loader (également suivis sous le nom de Taurus Stealer) continuent de changer et d'évoluer rapidement dans la manière dont leur création menaçante est diffusée. Taurus possédait des techniques impressionnantes d'évasion, d'anti-détection et d'anti-analyse, même dans ses versions initiales. Cependant, depuis lors, les hacks ont modifié chaque méthode découverte par les chercheurs d'infosec, gardant Taurus aussi pertinent et dangereux que possible.

La dernière innovation, repérée par les chercheurs de Minerva Lab, consiste à inciter les utilisateurs peu méfiants à télécharger et à exécuter eux-mêmes la menace. Les opérateurs Taurus ont mis en place un tas de sites Web hébergeant un GIF pédagogique. Les utilisateurs qui souhaitent obtenir des versions illicites ou crackées d'applications protégées par le droit d'auteur en effectuant une recherche sur Google risquent d'atterrir sur l'un de ces sites Web leurres. Le GIF guidera ensuite le visiteur à travers les étapes nécessaires à l'installation supposée du produit logiciel souhaité. À l'insu des utilisateurs, ils ont vérifié les prérequis pour la livraison et l'exécution du chargeur Taurus sur leurs systèmes. Il convient de noter que les pirates informatiques ont mis en place des contrôles CAPTCHA pour protéger le site offrant la menace d'être consulté par des outils automatisés déployés par les chercheurs.

Une fois à l'intérieur de l'appareil, Taurus effectuera ses différentes vérifications pour déterminer si le système peut continuer à fonctionner en toute sécurité avec ses fonctionnalités nuisibles. La menace vérifie l'emplacement de l'utilisateur et ne sera lancée dans aucun des pays de la CEI actuels ou passés - Azerbaïdjan, Arménie, Biélorussie, Géorgie, Kazakhstan, Kirghizistan, Moldavie, Russie, Tadjikistan, Turkménistan, Ouzbékistan et Ukraine. Il utilise une technique d'anti-émulation impliquant l'API Windows SetErrorMode, utilise une technique d'anti-analyse basée sur le calcul en calculant la somme du problème de Bâle et plus encore.

De nouvelles infections Taurus sont toujours détectées presque quotidiennement, malgré une analyse approfondie de la menace dans plusieurs rapports de recherche publiés par plusieurs fournisseurs de sécurité. Il semble qu'avec les ajustements rapides de la menace elle-même et l'intégration de nouveaux vecteurs d'infection, les cybercriminels ont veillé à ce que Taurus reste au pouvoir dans le paysage des logiciels malveillants.