ГЛАВНАЯ // NEWS


Исследователи описали преемника трояна Agent Tesla

Специалисты Palo Alto Networks Unit 42 описали внутреннюю работу вредоносного ПО под названием OriginLogger, которое позиционируется как преемник инфостилера и трояна удаленного доступа RAT «Agent Tesla».

В 2021 году ИБ-компания Sophos раскрыла 2 варианта Agent Tesla (версии 2 и 3), которые обладали возможностями для кражи учетных данных из веб-браузеров, почтовых приложений и VPN-клиентов, а также использовали Telegram API в качестве сервера управления и контроля (C&C).

По словам исследователя Unit 42 Джеффа Уайта, Agent Tesla версии 3 на самом деле является OriginLogger. Отправной точкой расследования Unit 42 стало опубликованное на YouTube
в 2018 году видео с подробным описанием функций OriginLogger, которое привело к обнаружению образца вредоносного ПО «OriginLogger.exe». Файл был загружен в базу данных VirusTotal в 2022 году.

Исполняемый файл представляет собой двоичный файл компоновщика, позволяющий хакеру указать типы данных, которые необходимо захватить. В том числе информацию из буфера обмена, снимки экрана, а также приложения и службы (браузеры, почтовые клиенты и т. д.), из которых должны быть получены учетные данные.

Unit 42 связал имя пользователя 0xfd3 с профилем GitHub, в котором размещались 2 репозитория исходного кода стилера паролей из Google Chrome и Microsoft Outlook, оба из которых используются в OriginLogger.

OriginLogger, как и Agent Tesla, доставляется через документ-приманку Microsoft Word , который содержит изображения паспорта гражданина Германии и кредитной карты, а также несколько встроенных в него листов Excel.

Листы Excel содержат VBA-макрос, который использует MSHTA для вызова HTML-страницы, размещенной на удаленном сервере. HTML-страница выполняет запутанный код JavaScript для получения двух закодированных двоичных файлов, размещенных на Bitbucket.

Первая часть вредоносного ПО представляет собой загрузчик, который использует технику очистки процессов

Источник: SecurityLab


Powered by Отряд им. 7-го МАЯ