Detección de Malware OriginLogger: Investigadores Desvelan al Sucesor de AgentTesla

El malware llamado OriginLogger se anuncia como un RAT convincente con un panel web fácil de usar, un registrador inteligente y un potente gancho de teclado. La descripción del malware OriginLogger también detalla la función de soporte para múltiples idiomas. La cepa de malware está diseñada para ejecutarse en sistemas operativos basados en Windows.

Se recomendó el RAT OriginLogger como sustituto de otro registrador de teclas infame etiquetado AgentTesla cuando fue eliminado del mercado de software legal debido a obvios problemas legales.

Detectar Malware OriginLogger

Para detectar archivos maliciosos plantados en su sistema por operadores de OriginLogger, utilice la regla de Sigma creada por el desarrollador de Threat Bounty Chayanin Khawsanit:

Actividad de Dropper detectada conduce a infección por Agent Tesla (a través de file_event)

Esta detección está disponible para 26 plataformas SIEM, EDR & XDR, alineada con el marco MITRE ATT&CK® v.10, abordando las tácticas de Desarrollo de Recursos y Ejecución con las técnicas de Desarrollo de Capacidades (T1587) y Ejecución del Usuario (T1204).

Los cazadores de amenazas, analistas SOC y CTI, y los ingenieros de detección pueden ahorrar tiempo y reducir riesgos automatizando su rutina SOC y potenciando las operaciones de caza de amenazas con un despliegue y gestión de contenido de Detección como Código sin esfuerzo. Las soluciones comprobadas de SOC Prime, como Uncoder CTI, le permiten concentrarse en la respuesta a incidentes y otras actividades de alta prioridad en lugar de dedicar volúmenes de tiempo a la investigación y codificación de contenido de detección.

Explorar Detecciones  

Análisis de Malware OriginLogger

OriginLogger tiene sus raíces en un software espía llamado AgentTesla. Según una investigación exhaustiva publicada por Unit 42, OriginLogger es una variante de Agent Tesla, más precisamente, su tercera versión lanzada, también conocida como “AgentTeslav3”. Agent Tesla, un registrador de teclas comercial y troyano de acceso remoto construido usando .NET, ha estado en operación desde 2014, permitiendo a los piratas informáticos criminales obtener acceso remoto a redes comprometidas y robar datos sensibles.

Ambos registradores de teclas se distribuyen a través de un documento falso de Microsoft Word que incluye una copia del pasaporte de un ciudadano alemán al azar, una imagen de una tarjeta de crédito y una serie de hojas de cálculo de Excel. Las hojas de cálculo llevan un macro VBA que recupera y ejecuta los contenidos de la página HTML de un servidor remoto a través de MSHTA. La cadena de infección dará como resultado la infección del dispositivo de la víctima con un código PowerShell ofuscado y dos binarios codificados. El malware procederá a recolectar las interacciones del objetivo con un dispositivo comprometido.

Navegue a través de la amplia biblioteca de contenido de detección para encontrar otros algoritmos relevantes y detectar si su sistema está infectado con archivos maliciosos. ¿Es usted un cazador de amenazas profesional que se esfuerza por compartir su experiencia con la comunidad de ciberseguridad más grande del mundo? Únase a nuestra iniciativa de crowdsourcing para recompensas y reconocimiento continuos con el programa Threat Bounty.