OriginLogger tar opp der agent Tesla slapp

OriginLogger er navnet på et nylig oppdaget skadelig verktøy. En detaljert rapport om skadelig programvare ble nylig publisert av et forskerteam med Unit 42-divisjonen til Palo Alto Networks.

OriginLogger har blitt annonsert som den neste utviklingen av den eldre Agent Tesla malware. Agent Tesla har eksistert i nesten et tiår. Agent Tesla er kodet ved hjelp av .NET og gikk gjennom to tidligere evolusjonære oppdateringer.

Den nyeste inkarnasjonen og tredje store oppdateringen er OriginLogger - et stykke skadevare som kombinerer keylogger- og infostealer-funksjonalitet. Skadevaren selges som en tilpassbar byggerbinær, slik at hackere som har kjøpt skadelig programvare kan spesifisere hvilken type informasjon de vil ha skrapet fra målrettede systemer, samt listen over applikasjoner som OriginLogger vil forsøke å skrape etter legitimasjon også.

Den vanlige distribusjonsmetoden som brukes av OriginLogger er ganske kronglete. En ondsinnet Word-fil vil inneholde et par bilder og innebygde Excel-ark i den. De innebygde Excel-elementene har ondsinnede Virtual Basic-makroer som åpner en ekstern nettside. Sidens kode har en del obfuskert JavaScript på seg, som til slutt fanger to kodede binære filer.

OriginLogger er distribuert på offersystemet gjennom prosessuthuling, og injiserer den endelige nyttelasten i en legitim prosess.