Notícias de dispositivos móveis, gadgets, aplicativos Android

Malware OriginLogger Keylogger, sucessor do agente Tesla, rouba credenciais e faz capturas de tela

O malware chamado OriginLogger foi recentemente dissecado em detalhe por especialistas em segurança da Unidade 42 da Palo Alto Networks. Acredita-se que o OriginLogger esteja destinado a substituir o Agente Tesla, e este é um ladrão de informações e RAT amplamente utilizado.

Tesla é um keylogger e ferramenta de acesso remoto baseado em .NET. Este malware permite que seus operadores tenham acesso fácil aos sistemas alvo remotamente e envia dados confidenciais para um C2 controlado pelo ator.

Ele está disponível para venda em fóruns da dark web desde 2014 e é conhecido por ter sido usado na natureza desde então. E-mails de spam maliciosos com anexos geralmente são usados ​​para distribuir esse vírus.

OriginLogger

O malware comum (versões 2, 3) foi divulgado pela empresa de segurança cibernética Sophos em fevereiro de 2021. Essas versões apresentavam recursos para roubar credenciais de:-

  • Navegadores da web
  • Aplicativos de e-mail
  • Clientes VPN
  • Telegrama

Uma reivindicação está sendo feita nessa versão 3 do Agente Tesla é na verdade OriginLogger, e isso é baseado em algumas informações.

A YouTube O vídeo detalhando as características da empresa de segurança cibernética postado em novembro de 2018 é o ponto de partida da investigação da empresa de segurança cibernética.

Consequentemente, o banco de dados de malware do VirusTotal foi pesquisado em busca de uma amostra de malware que foi carregada em 17 de maio de 2022, intitulada OriginLogger.exe e que estava em posse do VirusTotal.

Recursos do OriginLogger

Como um construtor binário, o executável fornece aos clientes os seguintes recursos como parte de sua funcionalidade:-

  • Suporte multilíngue
  • 3 Entrega diferente: PHP, SMTP e FTP
  • Registrador de teclas
  • Registro colorido
  • Registrador de capturas de tela
  • Fichário de vários arquivos
  • Registrador da área de transferência
  • SmartLogger
  • Recuperação de senha
  • Painel Web
  • 7/24 Suporte
  • Mensagem falsa
  • Compra automática
  • Estável e rápido
  • Código Puro
  • Todos Windows Sistema operacional compatível
  • Ignorar UAC: Vitória 7/8/10
  • Opção de montagem e ícone
Nós recomendamos:  BT faz parceria com o Google para oferecer Stadia gratuito com ofertas de banda larga no Reino Unido

Como parte do processo de autenticação, uma solicitação é enviada ao servidor OriginLogger para verificar a identidade do usuário. Os seguintes nomes de domínio são resolvidos para os seguintes endereços: –

  • 0xfd3[.]com
  • origempro[.]meu

Como resultado da investigação da Unidade 42, foi identificado um perfil GitHub com o nome de usuário 0xfd3. Durante a investigação, foi detectado que dois repositórios de código-fonte foram hospedados por este perfil. Embora sejam usados ​​para roubar senhas das seguintes plataformas, explorando o OrionLogger: –

  • Google Chrome
  • Microsoft Outlook

Um documento falso do Microsoft Word é usado para entregar o OrionLogger às vítimas, assim como o Agente Tesla faz. O documento contém várias planilhas do Excel incorporadas a ele.

Um deles contém a imagem de um passaporte de cidadão alemão, juntamente com outro que exibe um cartão de crédito, e também contém cópias dos passaportes.

Além disso, cada uma das planilhas contém uma macro VBA que chama a página HTML hospedada em um servidor remoto assim que as planilhas são carregadas.

Em muitos aspectos, OriginLogger e Agent Tesla são keyloggers semelhantes. OriginLogger, no entanto, é um keylogger comoditizado.

Conforme explicado no documento inicial, os keyloggers comerciais tendem a atender a agentes de ameaças menos avançados e sofisticados. Há muito cuidado que deve ser aplicado aos keyloggers comerciais da mesma maneira que se trataria software malicioso.

Baixe SWG – Filtragem Segura da Web – Livre Livro eletrônico