OriginLogger gaat verder waar agent Tesla was gebleven

OriginLogger is de naam van een nieuw ontdekte kwaadaardige tool. Een gedetailleerd rapport over de malware is onlangs gepubliceerd door een onderzoeksteam van de Unit 42-divisie van Palo Alto Networks.

OriginLogger is geadverteerd als de volgende evolutie van de oudere Agent Tesla-malware. Agent Tesla bestaat al bijna een decennium. Gecodeerd met .NET, heeft Agent Tesla twee eerdere evolutionaire updates doorlopen.

De nieuwste incarnatie en derde grote update is OriginLogger - een stukje malware dat keylogger- en infostealer-functionaliteit combineert. De malware wordt verkocht als een aanpasbare builder-binary, waardoor hackers die de malware hebben gekocht, kunnen specificeren welk type informatie ze van gerichte systemen willen schrappen, evenals de lijst met applicaties die OriginLogger ook zal proberen te schrapen voor inloggegevens.

De gebruikelijke distributiemethode die door OriginLogger wordt gebruikt, is nogal ingewikkeld. Een kwaadaardig Word-bestand bevat een aantal afbeeldingen en ingesloten Excel-bladen. De ingesloten Excel-elementen bevatten kwaadaardige Virtual Basic-macro's die een externe webpagina openen. De code van de pagina bevat een stuk versluierd JavaScript, dat uiteindelijk twee gecodeerde binaire bestanden pakt.

OriginLogger wordt ingezet op het slachtoffersysteem door middel van procesuitholling, waarbij de uiteindelijke lading in een legitiem proces wordt geïnjecteerd.