OriginLogger 在特工 Tesla 離開的地方接手
OriginLogger 是新發現的惡意工具的名稱。 Palo Alto Networks 的 Unit 42 部門的一個研究小組最近發布了一份關於該惡意軟件的詳細報告。
OriginLogger 被宣傳為舊版 Agent Tesla 惡意軟件的下一個演變。特斯拉特工已經存在了近十年。使用 .NET 進行編碼,Agent Tesla 經歷了之前的兩次進化更新。
最新的化身和第三次重大更新是 OriginLogger——一種結合了鍵盤記錄器和信息竊取功能的惡意軟件。該惡意軟件作為可定制的構建器二進製文件出售,允許購買惡意軟件的黑客指定他們希望從目標系統中抓取的信息類型,以及 OriginLogger 也將嘗試抓取憑據的應用程序列表。
OriginLogger 使用的通常分佈方法相當複雜。惡意 Word 文件將包含幾個圖像和嵌入的 Excel 工作表。嵌入的 Excel 元素中包含打開遠程網頁的惡意 Virtual Basic 宏。該頁面的代碼上有一大塊經過混淆的 JavaScript,它最終抓取了兩個編碼的二進製文件。
OriginLogger 通過進程挖空部署在受害系統上,將最終的payload注入到合法進程中。