国家计算机病毒应急处理中心通过对互联网的监测,发现不明身份的攻击者对Taurus恶意软件使用的逃避检测技术进行了功能更新,并将其加载器(loader)伪装成合法软件的Zip文件通过钓鱼邮件进行大规模传播。新版本的Taurus具有高度混淆的AutoIt脚本,能够在加载有效负载前发现分析和沙箱环境,从而有效逃避检测。 Taurus是一款由AutoIT编程语言编写的具有反调试、反虚拟机和反沙箱检测的信息窃取恶意软件。该恶意软件曾于2019年在黑客论坛公开售卖,能够从浏览器、FTP、VPN、电子邮件客户端以及加密货币钱包窃取凭据。在此前的攻击活动中,攻击者主要通过垃圾邮件传播该恶意软件。建议用户增强安全防范意识,定期备份关键数据,及时安装操作系统和办公软件的安全更新程序,并对来源不明的邮件、文档提高警惕,避免打开不必要的压缩包及宏程序,防范类似攻击行为的发生。 |