【安全资讯】研究人员发现与Taurus窃密程序相关的恶意活动

安恒情报中心 2021-03-17 02:41:59 1117人浏览

近日,研究人员发现了与Taurus窃密程序相关的事件激增。 最初的感染是从一个伪装成合法软件的zip文件开始的,里面包含恶意的SFX二进制文件, SFX文件会将几个文件释放到临时目录,其中的主要攻击模块是一个高度混淆的AutoIt脚本,它使用逃避技术来规避分析和沙箱环境,之后在内存中运行窃密程序。


攻击的感染链如下:


恶意软件通过Windows API SetErrorMode使用了一个有趣的反仿真技巧:



Taurus使用基于计算的反分析技术,通过计算巴塞尔问题的总和,从中得出π(平方根乘以总和的六倍),如果答案是大于π 的数字,则退出:


失陷指标(IOC)7
Taurus 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。