Taurus Loader

Los ciberdelincuentes detrás de la amenaza Taurus Loader (también rastreados como Taurus Stealer) continúan cambiando y evolucionando rápidamente la forma en que se entrega su creación amenazante. Taurus poseía impresionantes técnicas de evasión, anti-detección y anti-análisis, incluso en sus versiones iniciales. Sin embargo, desde entonces, los hacks han modificado cada método descubierto por los investigadores de infosec, manteniendo a Taurus lo más relevante y peligroso posible.

La última innovación, detectada por los investigadores de Minerva Lab, incluye engañar a los usuarios desprevenidos para que descarguen y ejecuten la amenaza ellos mismos. Los operadores de Taurus han creado varios sitios web que alojan un GIF instructivo. Los usuarios que deseen obtener versiones ilícitas o pirateadas de aplicaciones con derechos de autor al buscar en Google corren el riesgo de aterrizar en uno de estos sitios web atractivos. El GIF guiará al visitante a través de los pasos necesarios para la supuesta instalación del producto de software deseado. Sin el conocimiento de los usuarios, han estado verificando los requisitos previos para la entrega y ejecución del cargador Taurus en sus sistemas. Cabe señalar que los piratas informáticos han realizado controles CAPTCHA para evitar que las herramientas automatizadas implementadas por los investigadores accedan a la amenaza que ofrece el sitio.

Una vez dentro del dispositivo, Taurus realizará varias comprobaciones para determinar si el sistema es seguro para continuar con su funcionalidad dañina. La amenaza verifica las ubicaciones del usuario y no se iniciará en ninguno de los países de la CEI actuales o pasados: Azerbaiyán, Armenia, Bielorrusia, Georgia, Kazajstán, Kirguistán, Moldavia, Rusia, Tayikistán, Turkmenistán, Uzbekistán y Ucrania. Utiliza una técnica de anti-emulación que involucra la API de Windows SetErrorMode, emplea una técnica de anti-análisis basada en computación al calcular la suma del problema de Basilea y más.

Las nuevas infecciones de Taurus todavía se detectan casi a diario, a pesar de que la amenaza se analiza a fondo en varios informes de investigación publicados por varios proveedores de seguridad. Parece que con los rápidos ajustes de la amenaza en sí y la integración de nuevos vectores de infección, los ciberdelincuentes se han asegurado de que Taurus se mantenga en el poder dentro del panorama del malware.