【安全资讯】Taurus Loader利用破解软件站点进行传播

猎影实验室 2021-07-26 06:11:23 907人浏览

近日,研究人员观察到与Taurus加载程序相关的攻击事件激增。Taurus通过推广的破解软件站点供用户下载,针对的目标是尝试使用谷歌搜索引擎下载盗版软件的用户,诱导用户安装Taurus非法软件。这种社会工程技巧甚至可以让非技术用户成功执行这种恶意软件,从而提高了感染率。此外,下载页面受验证码保护免受机器人攻击,从而有效防止研究人员自动提取Taurus的有效载荷。


Taurus 是通过推广的破解软件站点下载的。如果用户尝试使用 Google 搜索引擎下载盗版软件,会发现一个包含下载指南视频的网站,下载指南将指导毫无戒心的用户安装 Taurus 加载程序。GIF截图如下:

金牛座下载


Taurus 使用 AutoIt 执行各种规避技术,如果一台机器被认为是安全的,则有效载荷将在内存中解密并执行。Taurus最终有效载荷解密是使用特定的机器代码片段实现的。恶意软件开发人员没有在 AutoIt 中实现其解密算法,而是选择编写他们选择的流密码 RC4 的程序集实现。RC4加密例程如下所示:


失陷指标(IOC)11
Taurus 加载器 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。