在过去的几个月里,金牛座项目 - 一个相对较新的偷窃师出现在2020年春天- 已分发通过MALSPAM运动在美国定位用户。宏观编写的文档产生了调用Certutil的PowerShell脚本,以运行AutoIt脚本,最终负责下载金牛座二进制文件。

金牛座最初是由落后的开发人员建造的叉子掠夺者小偷。它拥有许多相同的能力作为捕食者的小偷,即窃取浏览器,FTP,VPN和电子邮件客户端以及加密货币钱包的凭据的能力。

从8月下旬开始,我们开始注意到大型恶意运动,包括一个我们称之为Malsmoke的一个广告系列,可以分配烟雾装载机。在过去的几天中,我们观察了推动金牛座偷窃的新感染。

竞选范围

就像我们所覆盖的其他恶意活动一样,这个最新的人也是针对成人网站的游客。受害者主要来自美国,也是澳大利亚和英国。

流量被送入了辐射利用套件,可能是目前最占主导地位的推动工具之一。Taurus偷窃者部署在运行未被捕获的Internet Explorer或Flash播放器的弱势系统上。

图1:交通捕获将恶化的链条显示为export ek加载金牛座

由于代码相似之处,许多沙箱和安全产品将检测金牛座作为捕食者的小偷。

图2:在恶意软件二进制中看到的字符串'金牛座'

执行流程确实与缩小系统进行数据以窃取,删除它,然后加载额外的恶意软件有效载荷,执行流程确实非常相同。在这种情况下,我们观察到SysteMBCqbot.

偷窃者 - 装载机组合继续受欢迎

这些天,偷窃者是一个受欢迎的恶意软件有效载荷,有些家庭多样化,不仅仅是纯粹的窃贼,而不仅仅是在高级功能方面,而且作为额外恶意软件的装载机。

尽管捕食者背后的威胁演员贼似乎已经搬出了他们原来的创作的叉子并消失了,但抢劫的市场仍然非常强大。

必威平台APPMalwarebytes用户通过我们的反漏洞挖掘层防止这种威胁来保护这种威胁,该层停止了爆炸漏洞套件。

我们要感谢fumik0_关于捕食者的背景信息小偷和金牛座。

妥协指标

恶意基础设施

casigamewin [。] com

重定向器

89.203.249 [。] 76

金牛座二进制

84F6FD5103BFA97B8479AF5A6DB821001491676690502BB0231E6832FC463AF13

金牛座C2

111.90.149 [。] 143

SysteMBC

Charliehospital [。] Com / Soc.exe
C08AE3FC4F7DB6848F829EB7548530E2522EEE3EB60A57B2C38CD1BDC862F5D6F

qbot.

RegencyMyanmar [。] com / nt.exe
3AABDDE5F35BE00031D3F70AA1317B694E27969219841642218754