O malware chamado OriginLogger foi recentemente dissecado em detalhe por especialistas em segurança da Unidade 42 da Palo Alto Networks. Acredita-se que o OriginLogger esteja destinado a substituir o Agente Tesla, e este é um ladrão de informações e RAT amplamente utilizado.
Tesla é um keylogger e ferramenta de acesso remoto baseado em .NET. Este malware permite que seus operadores tenham acesso fácil aos sistemas alvo remotamente e envia dados confidenciais para um C2 controlado pelo ator.
Ele está disponível para venda em fóruns da dark web desde 2014 e é conhecido por ter sido usado na natureza desde então. E-mails de spam maliciosos com anexos geralmente são usados para distribuir esse vírus.
OriginLogger
O malware comum (versões 2, 3) foi divulgado pela empresa de segurança cibernética Sophos em fevereiro de 2021. Essas versões apresentavam recursos para roubar credenciais de:-
- Navegadores da web
- Aplicativos de e-mail
- Clientes VPN
- Telegrama
Uma reivindicação está sendo feita nessa versão 3 do Agente Tesla é na verdade OriginLogger, e isso é baseado em algumas informações.
A YouTube O vídeo detalhando as características da empresa de segurança cibernética postado em novembro de 2018 é o ponto de partida da investigação da empresa de segurança cibernética.
Consequentemente, o banco de dados de malware do VirusTotal foi pesquisado em busca de uma amostra de malware que foi carregada em 17 de maio de 2022, intitulada OriginLogger.exe e que estava em posse do VirusTotal.
Recursos do OriginLogger
Como um construtor binário, o executável fornece aos clientes os seguintes recursos como parte de sua funcionalidade:-
- Suporte multilíngue
- 3 Entrega diferente: PHP, SMTP e FTP
- Registrador de teclas
- Registro colorido
- Registrador de capturas de tela
- Fichário de vários arquivos
- Registrador da área de transferência
- SmartLogger
- Recuperação de senha
- Painel Web
- 7/24 Suporte
- Mensagem falsa
- Compra automática
- Estável e rápido
- Código Puro
- Todos Windows Sistema operacional compatível
- Ignorar UAC: Vitória 7/8/10
- Opção de montagem e ícone
Como parte do processo de autenticação, uma solicitação é enviada ao servidor OriginLogger para verificar a identidade do usuário. Os seguintes nomes de domínio são resolvidos para os seguintes endereços: –
- 0xfd3[.]com
- origempro[.]meu
Como resultado da investigação da Unidade 42, foi identificado um perfil GitHub com o nome de usuário 0xfd3. Durante a investigação, foi detectado que dois repositórios de código-fonte foram hospedados por este perfil. Embora sejam usados para roubar senhas das seguintes plataformas, explorando o OrionLogger: –
- Google Chrome
- Microsoft Outlook
Um documento falso do Microsoft Word é usado para entregar o OrionLogger às vítimas, assim como o Agente Tesla faz. O documento contém várias planilhas do Excel incorporadas a ele.
Um deles contém a imagem de um passaporte de cidadão alemão, juntamente com outro que exibe um cartão de crédito, e também contém cópias dos passaportes.
Além disso, cada uma das planilhas contém uma macro VBA que chama a página HTML hospedada em um servidor remoto assim que as planilhas são carregadas.
Em muitos aspectos, OriginLogger e Agent Tesla são keyloggers semelhantes. OriginLogger, no entanto, é um keylogger comoditizado.
Conforme explicado no documento inicial, os keyloggers comerciais tendem a atender a agentes de ameaças menos avançados e sofisticados. Há muito cuidado que deve ser aplicado aos keyloggers comerciais da mesma maneira que se trataria software malicioso.
Baixe SWG – Filtragem Segura da Web – Livre Livro eletrônico