La Unidad 42 de Palo Alto Networks ha detallado el funcionamiento interno de un malware llamado OriginLoggerque ha sido promocionado como el sucesor del ampliamente utilizado ladrón de información y troyano de acceso remoto (RAT) conocido como agente tesla.
Agente Tesla, un registrador de teclas y acceso remoto basado en .NET, ha tenido una presencia de larga data en el panorama de las amenazas, lo que permite a los actores maliciosos obtener acceso remoto a los sistemas específicos y enviar información confidencial a un dominio controlado por el actor.
Se sabe que se usa en la naturaleza desde 2014, se anuncia para la venta en foros de la web oscura y generalmente se distribuye a través de correos electrónicos no deseados maliciosos como un archivo adjunto.
En febrero de 2021, la firma de ciberseguridad Sophos reveló dos nuevas variantes del malware básico (versión 2 y 3) que presentaban capacidades para robar credenciales de navegadores web, aplicaciones de correo electrónico y clientes VPN, además de usar la API de Telegram para comando y control. .
Ahora, según el investigador de la Unidad 42, Jeff White, lo que se ha etiquetado como AgentTesla versión 3 es en realidad OriginLoggerque se dice que surgió para llenar el vacío dejado por el primero después de que sus operadores cerraran el 4 de marzo de 2019, luego de problemas legales.
El punto de partida de la investigación de la empresa de ciberseguridad fue un Video de Youtube que se publicó en noviembre de 2018 detallando sus características, lo que condujo al descubrimiento de una muestra de malware («OriginLogger.exe«) que se cargó en la base de datos de malware VirusTotal el 17 de mayo de 2022.
El ejecutable es un binario generador que permite que un cliente comprado especifique los tipos de datos que se capturarán, incluido el portapapeles, las capturas de pantalla y la lista de aplicaciones y servicios (por ejemplo, navegadores, clientes de correo electrónico, etc.) desde los cuales se obtendrán las credenciales. extraído.
La autenticación del usuario se logra mediante el envío de una solicitud a un servidor OriginLogger, que se resuelve en los nombres de dominio 0xfd3[.]com y su contraparte más reciente originpro[.]me basado en dos artefactos de construcción compilados el 6 de septiembre de 2020 y el 29 de junio de 2022.
Unit 42 dijo que pudo identificar un perfil de GitHub con el nombre de usuario 0xfd3 que alojaba dos repositorios de código fuente para robar contraseñas de Google Chrome y Microsoft Outlook, los cuales se usan en OrionLogger.
OrionLogger, como el Agente Tesla, se entrega a través de un señuelo documento de Microsoft Word que, cuando se abre, está diseñado para mostrar una imagen de un pasaporte para un ciudadano alemán y una tarjeta de crédito, junto con una serie de hojas de cálculo de Excel incrustadas en él.
Las hojas de trabajo, a su vez, contienen una macro de VBA que utiliza MSHTA para invocar una página HTML alojada en un servidor remoto que, por su parte, incluye un código JavaScript ofuscado para obtener dos archivos binarios codificados alojados en Bitbucket.
La primera de las dos piezas de malware es un cargador que utiliza la técnica de proceso de vaciado para inyectar el segundo ejecutable, la carga útil de OrionLogger, en el proceso aspnet_compiler.exeuna utilidad legítima para precompilar aplicaciones ASP.NET.
«El malware utiliza métodos probados y verdaderos e incluye la capacidad de registrar teclas, robar credenciales, tomar capturas de pantalla, descargar cargas útiles adicionales, cargar sus datos en una miríada de formas e intentar evitar la detección», dijo White.
Además, un análisis de un corpus de más de 1900 muestras muestra que los mecanismos de exfiltración más comunes para enviar los datos al atacante son a través de SMTP, FTP, cargas web al panel OrionLogger y Telegram con la ayuda de 181 bots únicos.
«Los keyloggers comerciales históricamente han atendido a atacantes menos avanzados, pero como se ilustra en el documento de señuelo inicial analizado aquí, esto no hace que los atacantes sean menos capaces de usar múltiples herramientas y servicios para ofuscar y hacer que el análisis sea más complicado», dijo White.