【安全资讯】Taurus Loader利用破解软件站点进行传播

近日，研究人员观察到与Taurus加载程序相关的攻击事件激增。Taurus通过推广的破解软件站点供用户下载，针对的目标是尝试使用谷歌搜索引擎下载盗版软件的用户，诱导用户安装Taurus非法软件。这种社会工程技巧甚至可以让非技术用户成功执行这种恶意软件，从而提高了感染率。此外，下载页面受验证码保护免受机器人攻击，从而有效防止研究人员自动提取Taurus的有效载荷。

Taurus 是通过推广的破解软件站点下载的。如果用户尝试使用 Google 搜索引擎下载盗版软件，会发现一个包含下载指南视频的网站，下载指南将指导毫无戒心的用户安装 Taurus 加载程序。GIF截图如下：

Taurus 使用 AutoIt 执行各种规避技术，如果一台机器被认为是安全的，则有效载荷将在内存中解密并执行。Taurus最终有效载荷解密是使用特定的机器代码片段实现的。恶意软件开发人员没有在 AutoIt 中实现其解密算法，而是选择编写他们选择的流密码 RC4 的程序集实现。RC4加密例程如下所示：