Zscaler’s ThreatLabZ-onderzoekers waarschuwen voor een nieuwe infostealer-campagne genaamd Taurus, die sinds begin juni 2020 wordt bestudeerd. Deze malware wordt verspreid via spam-mails en de schadelijke macro zit verborgen in een DocuSign-bijlage, wat het een zogenaamd betrouwbare bijlage geeft om op te klikken.
De technieken die werden gebruikt om sandbox-detectie te omzeilen waren opvallend bij Taurus. Achter de ontwikkeling van deze malware staat de cybercriminele groep ‘Predator the Thief’, die Taurus voor $100 op Darknet-forums verkoopt of voor $20 opnieuw opbouwt met een nieuw domein.
De malware-spelers prijzen de diverse infostealer-mogelijkheden van Taurus aan, waarvan wordt gezegd dat ze wachtwoorden, cookies en formulieren voor automatisch aanvullen kunnen stelen. Bovendien kan de malware de geschiedenis van op Chrome en Gecko gebaseerde browsers kopiëren om te zoeken naar creditcardinformatie, een aantal populaire portefeuilles van cryptocurrency leegroven (Electrum, MultiBit, Ethereum, Jaxx Liberty, Bytecoin, Atomic en Exodus) of veelgebruikte FTP client inloggegevens (inclusief FileZilla, WinFTP en WinSCP) en e-mailreferenties van klanten stelen. Er wordt ook informatie verzameld over de geïnstalleerde software en systeemconfiguratie van de geïnfecteerde systemen om deze terug te sturen naar de aanvallers.
Als serviceoptie voor kopers van de infostealer biedt de Predator Group een dashboard waarmee de configuratie individueel kan worden aangepast en tegelijkertijd een portal om het aantal infecties in georegio’s te monitoren. De malware is zo ontworpen dat deze niet wordt uitgevoerd in landen van het Gemenebest van Onafhankelijke Staten (GOS). Dit zijn onder meer landen als Azerbeidzjan, Armenië, Wit-Rusland, Georgië, Kazachstan, Kirgizië, Moldavië, Rusland, Tadzjikistan, Turkmenistan, Oezbekistan en Oekraïne.
De infectiecyclus van Taurus
In een spam-mail gebruikt Taurus een DocuSign-benadering als lokaas, waarachter een macro wordt ingevoegd die de infectiecyclus in gang zet na activering. Zodra het document is geopend, wordt de gebruiker gevraagd de macro te activeren. Activering roept een AutoOpen()-subroutine aan die de kwaadaardige Visual Basic for Applications (VBA)-macro uitvoert.
Hier wordt een PowerShell-script gestart via BitsTransfer, dat drie verschillende bestanden van het Taurus-project downloadt van de Github-site en deze vervolgens opslaat in een tijdelijke map met vooraf gedefinieerde namen. De macro bevat de URL van de payload als een combinatie van verduistering en is afhankelijk van Base64-gecodeerde en omgekeerde tekenreeksen.
Nadat de Zscaler-onderzoekers het AutoIT-script hadden gedecodeerd, konden ze de technieken ontdekken die werden gebruikt om detectie in de sandbox te voorkomen. Met de GetTickCount-functie wordt bijvoorbeeld de sleep-patch van de sandbox gecontroleerd en worden de tijdsintervallen tussen de slaapfases opgevraagd.
De Taurus-ontwikkelaars proberen zo te achterhalen hoe lang de malware inactief moet blijven om detectie te voorkomen. Ook de internetconnectiviteit wordt opgevraagd via de ping-functie en er wordt gericht gezocht naar gebruikersnamen of bestanden. Een mechanisme dat wordt ingezet om onopgemerkt te blijven, is dat Taurus het wsNcf.com-bestand via het AutoIT-script leest en decodeert en vervolgens de onthulde shell-code laadt om de payload in de dllhost.exe te injecteren. Het verbergen van de payload in een legitiem systeembestand, dat niet noodzakelijkerwijs door beveiligingssystemen wordt gescand, maakt het niet alleen moeilijk om te identificeren, maar maakt ook het onopgemerkt starten van activiteiten mogelijk.
