16/09/22
Специалисты Palo Alto Networks Unit 42 описали внутреннюю работу вредоносного ПО под названием OriginLogger, которое позиционируется как преемник инфостилера и трояна удаленного доступа RAT «Agent Tesla».
В 2021 году ИБ-компания Sophos раскрыла 2 варианта Agent Tesla (версии 2 и 3), которые обладали возможностями для кражи учетных данных из веб-браузеров, почтовых приложений и VPN-клиентов, а также использовали Telegram API в качестве сервера управления и контроля (C&C).
По словам исследователя Unit 42 Джеффа Уайта, Agent Tesla версии 3 на самом деле является OriginLogger. Отправной точкой расследования Unit 42 стало опубликованное на YouTube в 2018 году видео с подробным описанием функций OriginLogger, которое привело к обнаружению образца вредоносного ПО «OriginLogger.exe». Файл был загружен в базу данных VirusTotal в 2022 году.
Исполняемый файл представляет собой двоичный файл компоновщика, позволяющий хакеру указать типы данных, которые необходимо захватить. В том числе информацию из буфера обмена, снимки экрана, а также приложения и службы (браузеры, почтовые клиенты и т. д.), из которых должны быть получены учетные данные.
.png?width=605&name=content-img(454).png)
Unit 42 связал имя пользователя 0xfd3 с профилем GitHub, в котором размещались 2 репозитория исходного кода стилера паролей из Google Chrome и Microsoft Outlook, оба из которых используются в OriginLogger.
OriginLogger, как и Agent Tesla, доставляется через документ-приманку Microsoft Word , который содержит изображения паспорта гражданина Германии и кредитной карты, а также несколько встроенных в него листов Excel.
Листы Excel содержат VBA-макрос, который использует MSHTA для вызова HTML-страницы, размещенной на удаленном сервере. HTML-страница выполняет запутанный код JavaScript для получения двух закодированных двоичных файлов, размещенных на Bitbucket.
Первая часть вредоносного ПО представляет собой загрузчик, который использует технику очистки процессов Process Hollowing для внедрения второго исполняемого файла (полезной нагрузки OriginLogger) в процесс «aspnet_compiler.exe» (законную утилиту для предварительной компиляции приложений ASP.NET).
Избегая обнаружения, OriginLogger использует проверенные методы и включает в себя возможность:
- кейлоггинга;
- кражи учетных данных;
- создания снимков экрана;
- загрузки дополнительных полезных нагрузок.
Анализ более чем 1900 образцов показал, что наиболее распространенными механизмами эксфильтрации данных являются SMTP, FTP, веб-загрузки на панель OriginLogger и Telegram с помощью 181 уникального бота.
