OriginLogger tar vid där agent Tesla slutade

OriginLogger är namnet på ett nyupptäckt skadligt verktyg. En detaljerad rapport om skadlig programvara publicerades nyligen av ett forskarteam med Unit 42-avdelningen av Palo Alto Networks.

OriginLogger har annonserats som nästa utveckling av den äldre Agent Tesla malware. Agent Tesla har funnits i nästan ett decennium. Agent Tesla, kodad med .NET, gick igenom två tidigare evolutionära uppdateringar.

Den senaste inkarnationen och tredje stora uppdateringen är OriginLogger – en del av skadlig programvara som kombinerar keylogger- och infostealer-funktionalitet. Skadlig programvara säljs som en anpassningsbar byggarbinär, vilket gör att hackare som köpt skadlig programvara kan specificera vilken typ av information de vill ha bort från riktade system, såväl som listan över applikationer som OriginLogger kommer att försöka skrapa efter referenser också.

Den vanliga distributionsmetoden som används av OriginLogger är ganska invecklad. En skadlig Word-fil kommer att innehålla ett par bilder och inbäddade Excel-ark i den. De inbäddade Excel-elementen har skadliga Virtual Basic-makron som öppnar en fjärrwebbsida. Sidans kod har en bit obfuskerad JavaScript på sig, som slutligen tar tag i två kodade binära filer.

OriginLogger distribueras på offersystemet genom processurholkning, vilket injicerar den slutliga nyttolasten i en legitim process.