OriginLogger-Malware-Erkennung: Forscher werfen Licht auf den Nachfolger von AgentTesla

Die als OriginLogger bekannte Malware wird als überzeugender RAT mit einem benutzerfreundlichen Web-Panel, einem smarten Logger und einem leistungsstarken Keyboard-Hook beworben. Die Beschreibung der OriginLogger-Malware enthält auch Informationen über die Unterstützung mehrerer Sprachen. Der Malware-Stamm ist für den Betrieb auf Windows-basierten Betriebssystemen konzipiert.

Der OriginLogger RAT wurde als Ersatz für einen anderen berüchtigten Keylogger empfohlen, der mit AgentTesla gekennzeichnet war, als er aufgrund offensichtlicher rechtlicher Probleme vom Markt der legalen Software entfernt wurde.

Erkennung von OriginLogger-Malware

Um bösartige Dateien zu erkennen, die von den OriginLogger-Betreibern in Ihr System eingeschleust wurden, verwenden Sie die IOC-basierte Sigma-Regel , erstellt vom Threat Bounty-Entwickler Chayanin Khawsanit:

Erkannte Dropper-Aktivität führt zu Agent-Tesla-Infektion (via file_event)

Diese Erkennung steht für 26 SIEM-, EDR- und XDR-Plattformen zur Verfügung, die mit dem MITRE ATT&CK® Framework v.10 übereinstimmen und sich mit den Taktiken zur Ressourcenerstellung und -ausführung mit den Techniken Develop Capabilities (T1587) und User Execution (T1204) befassen.

Threat Hunter, SOC und CTI-Analysten sowie Detection Engineers können Zeit sparen und Risiken reduzieren, indem sie ihre SOC-Routine automatisieren und Bedrohungsjagden mit mühelosem Detection-as-Code-Content-Deployment und -Management effektivieren. Erprobte Lösungen von SOC Prime, wie Uncoder CTI, ermöglichen es Ihnen, sich auf die Incident Response und andere hochpriorisierte Aktivitäten zu konzentrieren, anstatt viel Zeit mit der Recherche und dem Coding von Erkennungsinhalten zu verbringen.

Erkundung von Erkennungen  

Analyse der OriginLogger-Malware

OriginLogger geht auf eine Spionagesoftware namens AgentTesla zurück. Laut einer eingehenden Forschung, veröffentlicht von Unit 42, ist OriginLogger eine Variante von Agent Tesla – genauer gesagt, seine dritte veröffentlichte Version, auch bekannt als „AgentTeslav3“. Agent Tesla, ein kommerzieller Keylogger und Remote-Access-Trojaner, der mit .NET entwickelt wurde, ist seit 2014 in Betrieb und ermöglicht es kriminellen Hackern, Fernzugriff auf kompromittierte Netzwerke zu erhalten und sensible Daten zu stehlen.

Beide Keylogger werden über ein gefälschtes Microsoft-Word-Dokument verbreitet, das eine Kopie des Reisepasses eines zufälligen deutschen Bürgers, ein Bild einer Kreditkarte und eine Anzahl von Excel-Arbeitsblättern enthält. Die Arbeitsblätter tragen ein VBA-Makro, das die Inhalte einer HTML-Seite eines Remote-Servers über MSHTA abruft und ausführt. Die Infektionskette führt zu einer Infektion des Geräts des Opfers mit einem obfuskierten PowerShell-Code und zwei codierten Binärdateien. Die Malware fährt fort, die Interaktionen des Ziels mit einem kompromittierten Gerät zu erfassen.

Durchstöbern Sie die umfangreiche Bibliothek von Erkennungsinhalten, um andere relevante Algorithmen zu finden und festzustellen, ob Ihr System mit bösartigen Dateien infiziert ist. Sind Sie ein professioneller Bedrohungsjäger, der bestrebt ist, sein Fachwissen mit der weltweit größten Cybersicherheitsgemeinschaft zu teilen? Treten Sie unserer Crowdsourcing-Initiative für kontinuierliche Belohnungen und Anerkennung beim Threat Bounty-Programm.