Το OriginLogger επιλέγει εκεί που έφυγε ο πράκτορας Tesla

Το OriginLogger είναι το όνομα ενός κακόβουλου εργαλείου που ανακαλύφθηκε πρόσφατα. Μια λεπτομερής αναφορά για το κακόβουλο λογισμικό δημοσιεύθηκε πρόσφατα από μια ερευνητική ομάδα με το τμήμα Unit 42 της Palo Alto Networks.

Το OriginLogger έχει διαφημιστεί ως η επόμενη εξέλιξη του παλαιότερου κακόβουλου λογισμικού Agent Tesla. Ο πράκτορας Tesla υπάρχει εδώ και σχεδόν μια δεκαετία. Κωδικοποιημένος με χρήση .NET, ο πράκτορας Tesla πέρασε από δύο προηγούμενες εξελικτικές ενημερώσεις.

Η πιο πρόσφατη ενσάρκωση και τρίτη σημαντική ενημέρωση είναι το OriginLogger - ένα κομμάτι κακόβουλου λογισμικού που συνδυάζει λειτουργίες keylogger και infostealer. Το κακόβουλο λογισμικό πωλείται ως προσαρμόσιμο δυαδικό πρόγραμμα δημιουργίας, επιτρέποντας στους χάκερ που αγόρασαν το κακόβουλο λογισμικό να καθορίσουν τον τύπο των πληροφοριών που θέλουν να αφαιρεθούν από στοχευμένα συστήματα, καθώς και τη λίστα των εφαρμογών που θα επιχειρήσει να εγγράψει το OriginLogger για διαπιστευτήρια.

Η συνήθης μέθοδος διανομής που χρησιμοποιείται από το OriginLogger είναι μάλλον περίπλοκη. Ένα κακόβουλο αρχείο Word θα περιέχει μερικές εικόνες και ενσωματωμένα φύλλα Excel σε αυτό. Τα ενσωματωμένα στοιχεία του Excel έχουν κακόβουλες μακροεντολές Virtual Basic που ανοίγουν μια απομακρυσμένη ιστοσελίδα. Ο κώδικας της σελίδας έχει ένα κομμάτι από ασαφή JavaScript, το οποίο τελικά αρπάζει δύο κωδικοποιημένα δυαδικά αρχεία.

Το OriginLogger αναπτύσσεται στο σύστημα του θύματος μέσω κοίλωσης διεργασιών, εισάγοντας το τελικό ωφέλιμο φορτίο σε μια νόμιμη διαδικασία.