OriginLogger riprende da dove l'agente Tesla si era interrotto

OriginLogger è il nome di uno strumento dannoso scoperto di recente. Un rapporto dettagliato sul malware è stato recentemente pubblicato da un team di ricerca con la divisione Unit 42 di Palo Alto Networks.

OriginLogger è stato pubblicizzato come la prossima evoluzione del vecchio malware Agent Tesla. L'agente Tesla è in circolazione da quasi un decennio. Codificato utilizzando .NET, l'Agente Tesla ha subito due precedenti aggiornamenti evolutivi.

L'ultima incarnazione e il terzo importante aggiornamento è OriginLogger, un malware che combina funzionalità di keylogger e infostealer. Il malware viene venduto come un builder binario personalizzabile, consentendo agli hacker che hanno acquistato il malware di specificare il tipo di informazioni che desiderano estrarre dai sistemi presi di mira, nonché l'elenco delle applicazioni che OriginLogger tenterà di acquisire per le credenziali.

Il solito metodo di distribuzione utilizzato da OriginLogger è piuttosto contorto. Un file Word dannoso conterrà un paio di immagini e fogli Excel incorporati. Gli elementi di Excel incorporati contengono macro Virtual Basic dannose che aprono una pagina Web remota. Il codice della pagina contiene un pezzo di JavaScript offuscato, che alla fine acquisisce due file binari codificati.

OriginLogger viene implementato sul sistema della vittima tramite process hollowing, iniettando il payload finale in un processo legittimo.