【安全资讯】Taurus Project窃密器通过恶意广告传播

在过去的几个月中， Taurus Project（一种相对较新的窃密器，于2020年春季出现）已经通过针对美国用户的垃圾邮件活动进行了分发。

这些宏绑定的文档生成了一个PowerShell脚本，该脚本调用certutil来运行自动脚本，该脚本负责下载Taurus二进制文件。Taurus最初是由Predator the thief背后的开发者创造的。它拥有许多与Predator the thief相同的功能，即能够从浏览器、FTP、VPN、电子邮件客户端以及加密货币钱包中窃取凭证。

这次的恶意广告活动针对成人网站的访问者，受害者大多来自美国，但也有来自澳大利亚和英国。

流量被输入到Fallout漏洞利用工具包中，可能是目前最主要的驱动工具集之一。Taurus Project被部署到运行未修补版本的Internet Explorer或Flash Player的易受攻击的系统上。

<lock v:ext="edit" aspectratio="t">
</lock>

图1：流量捕获显示进入Fallout EK加载Taurus Project的恶意链接

实际上，执行流程与抓取系统中要窃取的数据、窃取数据然后加载额外的恶意软件负载非常相似。本例中，我们观察到了SystemBC和QBot。

图2：在恶意软件文件中看到的字符串“ TAURUS”

结论：

窃密器是一种流行的恶意软件有效负载，不仅在高级功能方面，而且在作为其他恶意软件的加载器方面已经变得更多样化。用户可以通过反漏洞防护软件（可阻止辐射漏洞利用工具包）来防御这种威胁。