Rilevamento del Malware OriginLogger: I Ricercatori Fanno Luce sul Successore di AgentTesla

Il malware chiamato OriginLogger è pubblicizzato come un RAT convincente con un pannello web facile da usare, un logger intelligente e un potente hook della tastiera. La descrizione del malware OriginLogger dettaglia anche la funzione di supporto per più lingue. La variante di malware è progettata per funzionare su sistemi operativi basati su Windows.

Il RAT OriginLogger è stato raccomandato come sostituto per un altro noto logger di tasti denominato AgentTesla quando è stato eliminato dal mercato del software legale a causa di evidenti problemi legali.

Rileva Malware OriginLogger

Per rilevare file dannosi impiantati nel sistema dagli operatori OriginLogger, utilizza la regola Sigma basata su IOC creata dallo sviluppatore di Threat Bounty Chayanin Khawsanit:

Attività del Dropper Rilevata Conduce a Infezione da Agent Tesla (via file_event)

Questa rilevazione è disponibile per 26 piattaforme SIEM, EDR & XDR, in linea con il framework MITRE ATT&CK® v.10, affrontando le tattiche di Sviluppo delle Risorse e di Esecuzione con le tecniche di Sviluppare Capacità (T1587) e Esecuzione Utente (T1204).

Threat Hunters, analisti SOC e CTI e ingegneri della rilevazione possono risparmiare tempo e ridurre i rischi automatizzando la loro routine SOC e potenziando le operazioni di threat hunting con il deployment e gestione dei contenuti Detection-as-Code senza sforzo. Le soluzioni comprovate sul campo di SOC Prime, come Uncoder CTI, ti permettono di concentrarti sulla risposta agli incidenti e altre attività ad alta priorità piuttosto che spendere tempo considerevole nella ricerca e codifica di contenuti di rilevazione.

Esplora le Rilevazioni  

Analisi del Malware OriginLogger

OriginLogger risale alle sue radici con uno spyware chiamato AgentTesla. Secondo una ricerca approfondita pubblicata da Unit 42, OriginLogger è una variante di Agent Tesla – per essere più precisi, la sua terza versione rilasciata, nota anche come “AgentTeslav3”. Agent Tesla, un keylogger commerciale e trojan di accesso remoto costruito utilizzando .NET, è operativo dal 2014, permettendo ai criminali informatici di ottenere l’accesso remoto a reti violate e rubare dati sensibili.

Entrambi i keylogger sono distribuiti tramite un falso documento di Microsoft Word che include una copia del passaporto di un cittadino tedesco casuale, una foto di una carta di credito e un numero di fogli di lavoro Excel. I fogli di lavoro contengono una macro VBA che preleva ed esegue i contenuti della pagina HTML di un server remoto tramite MSHTA. La catena d’infezione porterà all’infezione del dispositivo della vittima con un codice PowerShell offuscato e due binari codificati. Successivamente, il malware raccoglierà le interazioni del target con il dispositivo compromesso.

Sfoglia la vasta libreria di contenuti di rilevazione per trovare altri algoritmi rilevanti e verificare se il tuo sistema è infetto da file dannosi. Sei un cacciatore di minacce professionista che si impegna a condividere la propria esperienza con la più grande comunità di cybersicurezza del mondo? Unisciti alla nostra iniziativa di crowdsourcing per ottenere continui riconoscimenti e premi con il programma Threat Bounty.