OriginLogger reprend là où l'agent Tesla s'est arrêté
OriginLogger est le nom d'un outil malveillant récemment découvert. Un rapport détaillé sur le logiciel malveillant a récemment été publié par une équipe de recherche de la division Unit 42 de Palo Alto Networks.
OriginLogger a été annoncé comme la prochaine évolution de l'ancien malware Agent Tesla. L'agent Tesla existe depuis près d'une décennie. Codé à l'aide de .NET, l'agent Tesla a connu deux mises à jour évolutives précédentes.
La dernière incarnation et la troisième mise à jour majeure est OriginLogger - un logiciel malveillant qui combine les fonctionnalités d'enregistreur de frappe et d'infostealer. Le logiciel malveillant est vendu en tant que binaire de construction personnalisable, permettant aux pirates qui ont acheté le logiciel malveillant de spécifier le type d'informations qu'ils souhaitent supprimer des systèmes ciblés, ainsi que la liste des applications qu'OriginLogger tentera également de récupérer pour les informations d'identification.
La méthode de distribution habituelle utilisée par OriginLogger est plutôt compliquée. Un fichier Word malveillant contiendra quelques images et des feuilles Excel intégrées. Les éléments Excel intégrés contiennent des macros Virtual Basic malveillantes qui ouvrent une page Web distante. Le code de la page contient un morceau de JavaScript obscurci, qui attrape finalement deux fichiers binaires encodés.
OriginLogger est déployé sur le système victime via le creusement de processus, injectant la charge utile finale dans un processus légitime.