Кейлоггер и RAT-троян использует более 180 ботов в Telegram в ходе атаки.
Специалисты Palo Alto Networks Unit 42 описали внутреннюю работу вредоносного ПО под названием OriginLogger, которое позиционируется как преемник инфостилера и трояна удаленного доступа RAT «Agent Tesla».
В 2021 году ИБ-компания Sophos раскрыла 2 варианта Agent Tesla (версии 2 и 3), которые обладали возможностями для кражи учетных данных из веб-браузеров, почтовых приложений и VPN-клиентов, а также использовали Telegram API в качестве сервера управления и контроля (C&C).
По словам исследователя Unit 42 Джеффа Уайта, Agent Tesla версии 3 на самом деле является OriginLogger. Отправной точкой расследования Unit 42 стало опубликованное на YouTube в 2018 году видео с подробным описанием функций OriginLogger, которое привело к обнаружению образца вредоносного ПО «OriginLogger.exe». Файл был загружен в базу данных VirusTotal в 2022 году.
Исполняемый файл представляет собой двоичный файл компоновщика, позволяющий хакеру указать типы данных, которые необходимо захватить. В том числе информацию из буфера обмена, снимки экрана, а также приложения и службы (браузеры, почтовые клиенты и т. д.), из которых должны быть получены учетные данные.
Unit 42 связал имя пользователя 0xfd3 с профилем GitHub, в котором размещались 2 репозитория исходного кода стилера паролей из Google Chrome и Microsoft Outlook, оба из которых используются в OriginLogger.
OriginLogger, как и Agent Tesla, доставляется через документ-приманку Microsoft Word , который содержит изображения паспорта гражданина Германии и кредитной карты, а также несколько встроенных в него листов Excel.
Листы Excel содержат VBA-макрос, который использует MSHTA для вызова HTML-страницы, размещенной на удаленном сервере. HTML-страница выполняет запутанный код JavaScript для получения двух закодированных двоичных файлов, размещенных на Bitbucket.
Первая часть вредоносного ПО представляет собой загрузчик, который использует технику очистки процессов «aspnet_compiler.exe» (законную утилиту для предварительной компиляции приложений ASP.NET).
Избегая обнаружения, OriginLogger использует проверенные методы и включает в себя возможность:
- кейлоггинга;
- кражи учетных данных;
- создания снимков экрана;
- загрузки дополнительных полезных нагрузок.
Анализ более чем 1900 образцов показал, что наиболее распространенными механизмами эксфильтрации данных являются SMTP, FTP, веб-загрузки на панель OriginLogger и Telegram с помощью 181 уникального бота.
