Az OriginLogger ott folytatja, ahol Tesla ügynök abbahagyta

Az OriginLogger egy újonnan felfedezett rosszindulatú eszköz neve. A Palo Alto Networks 42-es részlegének kutatócsoportja a közelmúltban részletes jelentést tett közzé a kártevőről.

Az OriginLoggert a régebbi Agent Tesla kártevő következő fejlesztéseként hirdették meg. Tesla ügynök közel egy évtizede létezik. A .NET segítségével kódolt Tesla ügynök két korábbi evolúciós frissítésen ment keresztül.

A legújabb inkarnáció és a harmadik jelentős frissítés az OriginLogger – egy rosszindulatú program, amely egyesíti a keylogger és az infostealer funkciókat. A rosszindulatú program testreszabható fejlesztő binárisként kerül értékesítésre, amely lehetővé teszi a kártevőt megvásároló hackerek számára, hogy meghatározzák, milyen típusú információkat szeretnének kimásolni a célzott rendszerekről, valamint azoknak az alkalmazásoknak a listáját, amelyeket az OriginLogger megkísérel a hitelesítő adatokért lekaparni.

Az OriginLogger által használt szokásos terjesztési módszer meglehetősen bonyolult. Egy rosszindulatú Word-fájl néhány képet és beágyazott Excel-lapot tartalmaz. A beágyazott Excel elemek rosszindulatú Virtual Basic makrókat tartalmaznak, amelyek távoli weboldalt nyitnak meg. Az oldal kódjában van egy darab obfuszkált JavaScript, amely végül két kódolt bináris fájlt ragad meg.

Az OriginLoggert az áldozat rendszeren a folyamat kiürítésével telepítik, és a végső hasznos terhet egy legitim folyamatba juttatják.