Palo Alto Networks Unit 42 adlı bir kötü amaçlı yazılımın iç işleyişini detaylandırdı. OriginLoggerolarak bilinen, yaygın olarak kullanılan bilgi hırsızı ve uzaktan erişim truva atının (RAT) halefi olarak lanse edilmiştir. Ajan Tesla.
.NET tabanlı bir keylogger ve uzaktan erişim olan Ajan Tesla, tehdit ortamında uzun süredir varlığını sürdürüyor ve kötü niyetli aktörlerin hedeflenen sistemlere uzaktan erişim elde etmesine ve aktör kontrollü bir etki alanına hassas bilgileri işaret etmesine olanak tanıyor.
2014’ten beri doğada kullanıldığı bilinen, dark web forumlarında satışının reklamı yapılıyor ve genellikle ek olarak kötü niyetli spam e-postalar aracılığıyla dağıtılıyor.
Şubat 2021’de siber güvenlik firması Sophos, web tarayıcılarından, e-posta uygulamalarından ve VPN istemcilerinden kimlik bilgilerini çalma ve komut ve kontrol için Telegram API’yi kullanma özelliklerine sahip, emtia kötü amaçlı yazılımın (sürüm 2 ve 3) iki yeni türünü açıkladı. .
Şimdi Ünite 42 araştırmacısı Jeff White’a göre, Ajan Tesla sürüm 3 olarak etiketlenen şey aslında OriginLogger4 Mart 2019’da operatörlerinin yasal aksaklıklar nedeniyle mağazalarını kapatmasının ardından eskinin bıraktığı boşluğu doldurmak için ortaya çıktığı söylenen .
Siber güvenlik firmasının soruşturma için başlangıç noktası, Youtube videosu Kasım 2018’de yayınlanan ve özelliklerini detaylandıran ve kötü amaçlı yazılım örneğinin keşfedilmesine yol açan (“OriginLogger.exe“) 17 Mayıs 2022’de VirusTotal kötü amaçlı yazılım veritabanına yüklendi.
Yürütülebilir dosya, satın alınan bir müşterinin, pano, ekran görüntüleri ve kimlik bilgilerinin alınacağı uygulamalar ve hizmetler (örn. çıkarılan.
Kullanıcı kimlik doğrulaması, 0xfd3 alan adlarına çözümlenen OriginLogger sunucusuna bir istek gönderilerek gerçekleştirilir.[.]com ve yeni karşılığı Originpro[.]6 Eylül 2020 ve 29 Haziran 2022’de derlenen iki inşaatçı eserine dayanmaktadır.
Unit 42, her ikisi de OrionLogger’da kullanılan Google Chrome ve Microsoft Outlook’tan şifreleri çalmak için iki kaynak kod deposu barındıran 0xfd3 kullanıcı adıyla bir GitHub profilini tanımlayabildiğini söyledi.
OrionLogger, Ajan Tesla gibi, bir Microsoft Word belgesini kandırmak Bu, açıldığında, içine gömülü bir dizi Excel Çalışma Sayfası ile birlikte bir Alman vatandaşı için pasaport ve bir kredi kartı görüntüsünü gösterecek şekilde tasarlanmıştır.
Çalışma sayfaları, sırayla, kullanan bir VBA makrosu içerir. MSHTA Bitbucket’te barındırılan iki kodlanmış ikili dosyayı getirmek için karmaşık bir JavaScript kodu içeren, uzak bir sunucuda barındırılan bir HTML sayfasını çağırmak.
Kötü amaçlı yazılımın iki parçasından ilki, şu tekniği kullanan bir yükleyicidir. süreç içi oyuk ikinci yürütülebilir dosyayı, OrionLogger yükünü aspnet_compiler.exe işlemiASP.NET uygulamalarını önceden derlemek için meşru bir yardımcı program.
White, “Kötü amaçlı yazılım denenmiş ve gerçek yöntemler kullanıyor ve keylog oluşturma, kimlik bilgilerini çalma, ekran görüntüleri alma, ek yükler indirme, verilerinizi sayısız yolla yükleme ve tespitten kaçınmaya çalışma özelliklerini içeriyor” dedi.
Dahası, 1.900’den fazla örnekten oluşan bir bütünün analizi, verileri saldırgana geri göndermek için en yaygın sızma mekanizmalarının SMTP, FTP, OrionLogger paneline web yüklemeleri ve 181 benzersiz bot yardımıyla Telegram aracılığıyla olduğunu gösteriyor.
White ayrıca, “Ticari keylogger’lar tarihsel olarak daha az gelişmiş saldırganlara hizmet vermiştir, ancak burada analiz edilen ilk cazibe belgesinde gösterildiği gibi, bu, saldırganları, şaşırtmak ve analizi daha karmaşık hale getirmek için birden fazla araç ve hizmet kullanma konusunda daha az yetenekli yapmaz.” Dedi.
