OriginLogger continua de onde o agente Tesla parou

OriginLogger é o nome de uma ferramenta maliciosa recém-descoberta. Um relatório detalhado sobre o malware foi publicado recentemente por uma equipe de pesquisa da divisão Unit 42 da Palo Alto Networks.

OriginLogger foi anunciado como a próxima evolução do malware Agent Tesla mais antigo. O agente Tesla existe há quase uma década. Codificado usando .NET, o Agente Tesla passou por duas atualizações evolutivas anteriores.

A mais nova encarnação e terceira grande atualização é o OriginLogger - um malware que combina a funcionalidade keylogger e infostealer. O malware é vendido como um binário de construção personalizável, permitindo que os hackers que compraram o malware especifiquem o tipo de informação que desejam extrair dos sistemas visados, bem como a lista de aplicativos que o OriginLogger também tentará extrair credenciais.

O método de distribuição usual usado pelo OriginLogger é bastante complicado. Um arquivo do Word malicioso conterá algumas imagens e planilhas do Excel incorporadas nele. Os elementos incorporados do Excel contêm macros mal-intencionadas do Virtual Basic que abrem uma página da Web remota. O código da página tem um pedaço de JavaScript ofuscado nele, que finalmente pega dois arquivos binários codificados.

O OriginLogger é implantado no sistema da vítima por meio de esvaziamento do processo, injetando a carga útil final em um processo legítimo.