×

Исследователи описали преемника трояна Agent Tesla

Исследователи описали преемника трояна Agent Tesla

Кейлоггер и RAT-троян использует более 180 ботов в Telegram в ходе атаки.

Специалисты Palo Alto Networks Unit 42 описали внутреннюю работу вредоносного ПО под названием OriginLogger, которое позиционируется как преемник инфостилера и трояна удаленного доступа RAT «Agent Tesla».

В 2021 году ИБ-компания Sophos раскрыла 2 варианта Agent Tesla (версии 2 и 3), которые обладали возможностями для кражи учетных данных из веб-браузеров, почтовых приложений и VPN-клиентов, а также использовали Telegram API в качестве сервера управления и контроля (C&C).

По словам исследователя Unit 42 Джеффа Уайта, Agent Tesla версии 3 на самом деле является OriginLogger. Отправной точкой расследования Unit 42 стало опубликованное на YouTube в 2018 году видео с подробным описанием функций OriginLogger, которое привело к обнаружению образца вредоносного ПО «OriginLogger.exe». Файл был загружен в базу данных VirusTotal в 2022 году.

Исполняемый файл представляет собой двоичный файл компоновщика, позволяющий хакеру указать типы данных, которые необходимо захватить. В том числе информацию из буфера обмена, снимки экрана, а также приложения и службы (браузеры, почтовые клиенты и т. д.), из которых должны быть получены учетные данные.


Unit 42 связал имя пользователя 0xfd3 с профилем GitHub, в котором размещались 2 репозитория исходного кода стилера паролей из Google Chrome и Microsoft Outlook, оба из которых используются в OriginLogger.

OriginLogger, как и Agent Tesla, доставляется через документ-приманку Microsoft Word , который содержит изображения паспорта гражданина Германии и кредитной карты, а также несколько встроенных в него листов Excel.

Листы Excel содержат VBA-макрос, который использует MSHTA для вызова HTML-страницы, размещенной на удаленном сервере. HTML-страница выполняет запутанный код JavaScript для получения двух закодированных двоичных файлов, размещенных на Bitbucket.

Первая часть вредоносного ПО представляет собой загрузчик, который использует технику очистки процессов «aspnet_compiler.exe» (законную утилиту для предварительной компиляции приложений ASP.NET).

Избегая обнаружения, OriginLogger использует проверенные методы и включает в себя возможность:

  • кейлоггинга;
  • кражи учетных данных;
  • создания снимков экрана;
  • загрузки дополнительных полезных нагрузок.

Анализ более чем 1900 образцов показал, что наиболее распространенными механизмами эксфильтрации данных являются SMTP, FTP, веб-загрузки на панель OriginLogger и Telegram с помощью 181 уникального бота.

Sysdig: каждый заработанный криптомайнерами доллар обходится жертве в 53 доллара

Эксперты рассчитали ущерб, проанализировав изучив крупную майнинговую кампанию Chimaera.

Исследователи Zscaler обнаружили в даркнете свежий билдер вредоносного ПО под названием Quantum

Инструмент может быть тесно связан с APT-группировкой Lazarus.