Détection de malwares OriginLogger : les chercheurs lèvent le voile sur le successeur d’AgentTesla
Table des matières :
Le logiciel malveillant appelé OriginLogger est présenté comme un RAT convaincant avec un panneau web convivial, un enregistreur intelligent et un puissant hook de clavier. La description du malware OriginLogger détaille également la fonctionnalité de support multilingue. Cette souche de malware est conçue pour fonctionner sur les systèmes d’exploitation basés sur Windows.
Le RAT OriginLogger a été recommandé comme remplacement pour un autre enregistreur de frappe infâme marqué AgentTesla lorsqu’il a été retiré du marché des logiciels légaux en raison de problèmes juridiques évidents.
Détecter le logiciel malveillant OriginLogger
Pour détecter les fichiers malveillants implantés dans votre système par les opérateurs d’OriginLogger, utilisez la règle Sigma basée sur l’IOC créée par le développeur Threat Bounty L’activité du dropper détectée conduit à une infection par Agent Tesla (via file_event) L’activité du dropper détectée conduit à une infection par Agent Tesla (via file_event):
Detected Dropper activity Lead to Agent Tesla Infection (via file_event)
Cette détection est disponible pour 26 plateformes SIEM, EDR & XDR, alignées avec le cadre MITRE ATT&CK® v.10, abordant les tactiques de Développement des Ressources et d’Exécution avec les techniques de Développement de Capacités (T1587) et d’Exécution par l’Utilisateur (T1204).
Les chasseurs de menaces, les analystes SOC et CTI, et les ingénieurs de détection peuvent gagner du temps et réduire les risques en automatisant leur routine SOC et en renforçant les opérations de chasse aux menaces avec un déploiement et une gestion de contenu de détection sans effort. Les solutions éprouvées sur le terrain de SOC Prime, telles que Uncoder CTI, vous permettent de vous concentrer sur la réponse aux incidents et d’autres activités hautement prioritaires plutôt que de passer beaucoup de temps à la recherche et au codage de contenu de détection.
Analyse du logiciel malveillant OriginLogger
OriginLogger trouve ses racines dans un logiciel espion appelé AgentTesla. Selon une recherche approfondie publiée par Unit 42, OriginLogger est une variante d’Agent Tesla – pour être plus précis, sa troisième version publiée, alias « AgentTeslav3 ». Agent Tesla, un enregistreur de frappe commercial et cheval de Troie d’accès à distance construit en utilisant .NET, est en opération depuis 2014, permettant aux pirates informatiques criminels d’obtenir un accès à distance aux réseaux compromis et de voler des données sensibles.
Les deux enregistreurs de frappe sont distribués via un faux document Microsoft Word qui contient une copie du passeport d’un citoyen allemand aléatoire, une photo d’une carte de crédit et un certain nombre de feuilles de calcul Excel. Les feuilles transportent une macro VBA qui récupère et exécute le contenu de la page HTML d’un serveur distant via MSHTA. La chaîne d’infection entraînera l’infection de l’appareil de la victime avec un code PowerShell obfusqué et deux binaires encodés. Le logiciel malveillant continuera d’exploiter les interactions de la cible avec un appareil compromis.
Parcourez la vaste bibliothèque de contenu de détection pour trouver d’autres algorithmes pertinents et détecter si votre système est infecté par des fichiers malveillants. Êtes-vous un chasseur de menaces professionnel désireux de partager votre expertise avec la plus grande communauté mondiale de cybersécurité ? Rejoignez notre initiative de crowdsourcing pour des récompenses et une reconnaissance continues avec le programme Threat Bounty.
