Detecção de Malware OriginLogger: Pesquisadores Esclarecem Sobre o Sucessor do AgentTesla

O malware chamado OriginLogger é anunciado como um RAT atraente com um painel web de fácil utilização, logger inteligente e um poderoso gancho de teclado. A descrição do malware OriginLogger também detalha o recurso de suporte a múltiplos idiomas. A cepa de malware é projetada para rodar em sistemas operacionais baseados em Windows.

O RAT OriginLogger foi recomendado como substituto para outro famoso registrador de teclas chamado AgentTesla quando foi eliminado do mercado de software legal devido a questões legais óbvias.

Detectar Malware OriginLogger

Para detectar arquivos maliciosos plantados em seu sistema por operadores do OriginLogger, utilize a regra baseada em IOC Sigma criada pelo desenvolvedor Threat Bounty Chayanin Khawsanit:

Atividade de Dropper Detectada Leva à Infecção por Agent Tesla (via file_event)

Esta detecção está disponível para 26 plataformas SIEM, EDR & XDR, alinhadas com o framework MITRE ATT&CK® v.10, abordando as táticas de Desenvolvimento de Recursos e Execução com as técnicas de Desenvolvimento de Capacidades (T1587) e Execução de Usuário (T1204).

Os Caçadores de Ameaças, Analistas de SOC e CTI, e Engenheiros de Detecção podem economizar tempo e reduzir riscos automatizando sua rotina SOC e impulsionando operações de caça de ameaças com a implantação e gestão de conteúdos de Detecção como Código sem esforço. Soluções comprovadas em campo pela SOC Prime, como Uncoder CTI, permitem que você se concentre em resposta a incidentes e outras atividades de alta prioridade ao invés de gastar volumes de tempo em pesquisa e codificação de conteúdo de detecção.

Explorar Detecções  

Análise de Malware OriginLogger

OriginLogger tem suas raízes em um spyware chamado AgentTesla. De acordo com uma pesquisa aprofundada publicada por Unit 42, OriginLogger é uma variante do Agent Tesla – para ser mais preciso, sua terceira versão lançada, também conhecida como ‘AgentTeslav3’. O Agent Tesla, um registrador de teclas e trojan de acesso remoto comercial construído em .NET, está em operação desde 2014, permitindo que hackers criminosos obtenham acesso remoto a redes violadas e roubem dados sensíveis.

Ambos os registradores de teclas são distribuídos via um documento falso do Microsoft Word que inclui uma cópia do passaporte de um cidadão alemão aleatório, uma foto de um cartão de crédito e um número de planilhas do Excel. As planilhas contêm uma macro VBA que busca e executa o conteúdo da página HTML de um servidor remoto via MSHTA. A cadeia de infecção resultará na infecção do dispositivo da vítima com um código PowerShell ofuscado e duas binários codificados. O malware prosseguirá para coletar as interações do alvo com um dispositivo comprometido.

Navegue pela vasta biblioteca de conteúdo de detecção para encontrar outros algoritmos relevantes e detectar se seu sistema está infectado com arquivos maliciosos. Você é um caçador de ameaças profissional que busca compartilhar sua expertise com a maior comunidade de cibersegurança do mundo? Junte-se à nossa iniciativa de crowdsourcing para recompensas e reconhecimento contínuos com o programa Threat Bounty.