„OriginLogger“ tęsia ten, kur agentas Tesla baigė

OriginLogger yra naujai aptikto kenkėjiško įrankio pavadinimas. Neseniai Palo Alto Networks 42 padalinio tyrimų grupė paskelbė išsamią ataskaitą apie kenkėjišką programą.

„OriginLogger“ buvo paskelbta kaip kita senesnės „Agent Tesla“ kenkėjiškos programos evoliucija. Agentas Tesla gyvuoja beveik dešimtmetį. Užkoduotas naudojant .NET, agentas Tesla patyrė du ankstesnius evoliucinius atnaujinimus.

Naujausias įsikūnijimas ir trečias svarbus atnaujinimas yra OriginLogger – kenkėjiškos programos dalis, sujungianti klavišų registravimo ir informacijos stealer funkcijas. Kenkėjiška programa parduodama kaip tinkinamas dvejetainis kūrėjas, leidžiantis įsilaužėliams, įsigijusiems kenkėjišką programą, nurodyti, kokio tipo informaciją jie nori išgauti iš tikslinių sistemų, taip pat programų, kurias „OriginLogger“ taip pat bandys iškrapštyti kredencialams, sąrašą.

Įprastas „OriginLogger“ naudojamas platinimo metodas yra gana sudėtingas. Kenkėjiškame „Word“ faile bus keletas vaizdų ir įterptų „Excel“ lapų. Įterptuose „Excel“ elementuose yra kenkėjiškų „Virtual Basic“ makrokomandų, kurios atidaro nuotolinį tinklalapį. Puslapio kode yra užtemdyto „JavaScript“ gabalas, kuris galiausiai paima du užkoduotus dvejetainius failus.

OriginLogger yra įdiegtas aukos sistemoje, pašalinant procesą, įterpiant galutinę naudingąją apkrovą į teisėtą procesą.