OriginLogger 在特工 Tesla 离开的地方接手
OriginLogger 是新发现的恶意工具的名称。 Palo Alto Networks 的 Unit 42 部门的一个研究小组最近发布了一份关于该恶意软件的详细报告。
OriginLogger 被宣传为旧版 Agent Tesla 恶意软件的下一个演变。特斯拉特工已经存在了近十年。使用 .NET 进行编码,Agent Tesla 经历了之前的两次进化更新。
最新的化身和第三次重大更新是 OriginLogger——一种结合了键盘记录器和信息窃取功能的恶意软件。该恶意软件作为可定制的构建器二进制文件出售,允许购买恶意软件的黑客指定他们希望从目标系统中抓取的信息类型,以及 OriginLogger 也将尝试抓取凭据的应用程序列表。
OriginLogger 使用的通常分布方法相当复杂。恶意 Word 文件将包含几个图像和嵌入的 Excel 工作表。嵌入的 Excel 元素中包含打开远程网页的恶意 Virtual Basic 宏。该页面的代码上有一大块经过混淆的 JavaScript,它最终抓取了两个编码的二进制文件。
OriginLogger 通过进程挖空部署在受害系统上,将最终的payload注入到合法进程中。
September 15, 2022
