OriginLogger продолжает с того места, на котором остановился агент Тесла

OriginLogger — это название недавно обнаруженного вредоносного инструмента. Подробный отчет о вредоносном ПО был недавно опубликован исследовательской группой подразделения Unit 42 компании Palo Alto Networks.

OriginLogger рекламировался как следующая эволюция старой вредоносной программы Agent Tesla. Агент Тесла существует уже почти десять лет. Закодированный с использованием .NET, Агент Тесла претерпел два предыдущих эволюционных обновления.

Новейшее воплощение и третье крупное обновление — OriginLogger — вредоносное ПО, сочетающее в себе функции кейлоггера и кражи информации. Вредоносное ПО продается в виде настраиваемого бинарного компоновщика, что позволяет хакерам, купившим вредоносное ПО, указать тип информации, которую они хотят извлечь из целевых систем, а также список приложений, которые OriginLogger также попытается извлечь для получения учетных данных.

Обычный метод распространения, используемый OriginLogger, довольно запутан. Вредоносный файл Word будет содержать пару изображений и встроенные в него листы Excel. Встроенные элементы Excel содержат вредоносные макросы Virtual Basic, которые открывают удаленную веб-страницу. В коде страницы есть фрагмент запутанного JavaScript, который, в конце концов, захватывает два закодированных двоичных файла.

OriginLogger развертывается в системе-жертве путем очистки процесса, вводя конечную полезную нагрузку в законный процесс.