OriginLogger fortsætter, hvor agent Tesla slap

OriginLogger er navnet på et nyligt opdaget ondsindet værktøj. En detaljeret rapport om malwaren blev for nylig offentliggjort af et forskerhold med Unit 42-afdelingen af Palo Alto Networks.

OriginLogger er blevet annonceret som den næste udvikling af den ældre Agent Tesla malware. Agent Tesla har eksisteret i næsten et årti. Kodet ved hjælp af .NET gennemgik Agent Tesla to tidligere evolutionære opdateringer.

Den nyeste inkarnation og tredje store opdatering er OriginLogger - et stykke malware, der kombinerer keylogger- og infostealer-funktionalitet. Malwaren sælges som en brugerdefinerbar Builder-binær, hvilket giver hackere, der har købt malwaren, mulighed for at specificere den type information, de vil have skrabet fra målrettede systemer, samt listen over applikationer, som OriginLogger også vil forsøge at skrabe for legitimationsoplysninger.

Den sædvanlige distributionsmetode, der bruges af OriginLogger, er temmelig indviklet. En ondsindet Word-fil vil indeholde et par billeder og indlejrede Excel-ark i den. De indlejrede Excel-elementer har ondsindede Virtual Basic-makroer, der åbner en ekstern webside. Sidens kode har en del sløret JavaScript på sig, som endelig fanger to kodede binære filer.

OriginLogger er implementeret på offersystemet gennem procesudhulning, der injicerer den endelige nyttelast i en legitim proces.