Nieuwe infostealer-campagne Taurus maakt gebruik van sandbox-bypass-technieken

| Zscaler | 3 min | 20 juli 2020 15:07
Afbeelding: Het bijgevoegde kwaadaardige document vraagt gebruikers om een macro in te schakelen | Copyright: Zscaler
Zscaler's ThreatLabZ-onderzoekers waarschuwen voor een nieuwe infostealer-campagne genaamd Taurus, die sinds begin juni 2020 wordt bestudeerd. Deze malware wordt verspreid via spam-mails en de schadelijke macro zit verborgen in een DocuSign-bijlage, wat het een zogenaamd betrouwbare bijlage geeft om op te klikken. De technieken die werden gebruikt om sandbox-detectie te omzeilen waren opvallend bij Taurus. Achter de ontwikkeling van deze malware staat de cybercriminele groep 'Predator the Thief', die Taurus voor $100 op Darknet-forums verkoopt of voor $20 opnieuw opbouwt met een nieuw domein.

De malware-spelers prijzen de diverse infostealer-mogelijkheden van Taurus aan, waarvan wordt gezegd dat ze wachtwoorden, cookies en formulieren voor automatisch aanvullen kunnen stelen. Bovendien kan de malware de geschiedenis van op Chrome en Gecko gebaseerde browsers kopiëren om te zoeken naar creditcardinformatie, een aantal populaire portefeuilles van cryptocurrency leegroven (Electrum, MultiBit, Ethereum, Jaxx Liberty, Bytecoin, Atomic en Exodus) of veelgebruikte FTP client inloggegevens (inclusief FileZilla, WinFTP en WinSCP) en e-mailreferenties van klanten stelen. Er wordt ook informatie verzameld over de geïnstalleerde software en systeemconfiguratie van de geïnfecteerde systemen om deze terug te sturen naar de aanvallers.

Als serviceoptie voor kopers van de infostealer biedt de Predator Group een dashboard waarmee de configuratie individueel kan worden aangepast en tegelijkertijd een portal om het aantal infecties in georegio's te monitoren. De malware is zo ontworpen dat deze niet wordt uitgevoerd in landen van het Gemenebest van Onafhankelijke Staten (GOS). Dit zijn onder meer landen als Azerbeidzjan, Armenië, Wit-Rusland, Georgië, Kazachstan, Kirgizië, Moldavië, Rusland, Tadzjikistan, Turkmenistan, Oezbekistan en Oekraïne.


Figuur 1: Het Taurus-dashboard toont de succesvolle infecties per regio

De infectiecyclus van Taurus

In een spam-mail gebruikt Taurus een DocuSign-benadering als lokaas, waarachter een macro wordt ingevoegd die de infectiecyclus in gang zet na activering. Zodra het document is geopend, wordt de gebruiker gevraagd de macro te activeren. Activering roept een AutoOpen()-subroutine aan die de kwaadaardige Visual Basic for Applications (VBA)-macro uitvoert. Hier wordt een PowerShell-script gestart via BitsTransfer, dat drie verschillende bestanden van het Taurus-project downloadt van de Github-site en deze vervolgens opslaat in een tijdelijke map met vooraf gedefinieerde namen. De macro bevat de URL van de payload als een combinatie van verduistering en is afhankelijk van Base64-gecodeerde en omgekeerde tekenreeksen.


Figuur 2: infectiecyclus van de Taurus-campagne

Nadat de Zscaler-onderzoekers het AutoIT-script hadden gedecodeerd, konden ze de technieken ontdekken die werden gebruikt om detectie in de sandbox te voorkomen. Met de GetTickCount-functie wordt bijvoorbeeld de sleep-patch van de sandbox gecontroleerd en worden de tijdsintervallen tussen de slaapfases opgevraagd. De Taurus-ontwikkelaars proberen zo te achterhalen hoe lang de malware inactief moet blijven om detectie te voorkomen. Ook de internetconnectiviteit wordt opgevraagd via de ping-functie en er wordt gericht gezocht naar gebruikersnamen of bestanden. Een mechanisme dat wordt ingezet om onopgemerkt te blijven, is dat Taurus het wsNcf.com-bestand via het AutoIT-script leest en decodeert en vervolgens de onthulde shell-code laadt om de payload in de dllhost.exe te injecteren. Het verbergen van de payload in een legitiem systeembestand, dat niet noodzakelijkerwijs door beveiligingssystemen wordt gescand, maakt het niet alleen moeilijk om te identificeren, maar maakt ook het onopgemerkt starten van activiteiten mogelijk.

De Zscaler Security Cloud kan dankzij zijn complexe detectiemechanismen malware-indicatoren op verschillende niveaus detecteren. De gedetailleerde analyse van deze infostealer is te vinden op de Zscaler-blog op: https://www.zscaler.com/blogs/research/taurus-new-stealer-town.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Over Zscaler

Zscaler stelt grote, wereldwijde organisaties in staat om veilig hun netwerken en applicaties te transformeren voor een mobile- en cloud-first wereld. De belangrijkste services, Zscaler Internet Access en Zscaler Private Access, zorgen voor snelle, veilige verbindingen tussen gebruikers en applicaties, ongeacht apparaat, locatie of netwerk. Zscaler-services zijn 100% cloud-gebaseerd en bieden de eenvoud, verhoogde beveiliging en verbeterde gebruikerservaring die traditionele appliances of hybride oplossingen niet kunnen evenaren. Zscaler wordt gebruikt in zeer veel landen en heeft een multi-tenant, gedistribueerd cloudbeveiligingsplatform dat duizenden klanten beschermt tegen cyberaanvallen en dataverlies.
Meer over Zscaler

Disclaimer

Dit item is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als het item een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis het originele item leidend.
20191030101402.jpg
De grootste Nederlandse site over Android
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191029200614.jpg
Drive value with data
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20191030103431.png
Conference by app developers, for app developers!
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.