OriginLogger は、エージェント テスラが中断したところから再開します

OriginLogger は、新たに発見された悪意のあるツールの名前です。このマルウェアに関する詳細なレポートが、Palo Alto Networks の Unit 42 部門の研究チームによって最近公開されました。

OriginLogger は、古い Agent Tesla マルウェアの次の進化版として宣伝されています。エージェント テスラは、ほぼ 10 年前から存在しています。 .NET を使用してコーディングされたエージェント テスラは、以前の 2 つの進化的更新を経ています。

最新の化身であり、3 番目のメジャー アップデートは OriginLogger です。これは、キーロガーとインフォスティーラーの機能を組み合わせたマルウェアです。このマルウェアは、カスタマイズ可能なビルダー バイナリとして販売されており、マルウェアを購入したハッカーは、標的のシステムから収集したい情報の種類と、OriginLogger が資格情報を収集しようとするアプリケーションのリストを指定できます。

OriginLogger が使用する通常の配布方法はかなり複雑です。悪意のある Word ファイルには、いくつかの画像と埋め込まれた Excel シートが含まれています。埋め込まれた Excel 要素には、リモート Web ページを開く悪意のある Virtual Basic マクロが含まれています。ページのコードには難読化された JavaScript のチャンクが含まれており、最終的に 2 つのエンコードされたバイナリ ファイルが取得されます。

OriginLogger は、プロセスの空洞化を通じて被害者のシステムに展開され、最終的なペイロードを正当なプロセスに注入します。