OriginLogger macht dort weiter, wo Agent Tesla aufgehört hat

OriginLogger ist der Name eines neu entdeckten bösartigen Tools. Ein detaillierter Bericht über die Malware wurde kürzlich von einem Forschungsteam der Abteilung Unit 42 von Palo Alto Networks veröffentlicht.

OriginLogger wurde als nächste Weiterentwicklung der älteren Malware Agent Tesla beworben. Agent Tesla gibt es seit fast einem Jahrzehnt. Agent Tesla wurde mit .NET codiert und durchlief zwei vorherige evolutionäre Updates.

Die neueste Inkarnation und das dritte große Update ist OriginLogger – eine Malware, die Keylogger- und Infostealer-Funktionalität kombiniert. Die Malware wird als anpassbare Builder-Binärdatei verkauft, die es Hackern, die die Malware gekauft haben, ermöglicht, die Art der Informationen anzugeben, die sie von den Zielsystemen kratzen möchten, sowie die Liste der Anwendungen, die OriginLogger ebenfalls nach Anmeldeinformationen zu kratzen versucht.

Die übliche von OriginLogger verwendete Verteilungsmethode ist ziemlich kompliziert. Eine bösartige Word-Datei enthält ein paar Bilder und eingebettete Excel-Tabellen. Die eingebetteten Excel-Elemente enthalten schädliche Virtual Basic-Makros, die eine entfernte Webseite öffnen. Der Code der Seite enthält ein Stück verschleiertes JavaScript, das schließlich zwei verschlüsselte Binärdateien erfasst.

OriginLogger wird auf dem Opfersystem durch Prozessaushöhlung bereitgestellt, wobei die endgültige Nutzlast in einen legitimen Prozess eingespeist wird.