La Unidad 42 de Palo Alto Networks ha detallado el funcionamiento interno de un malware llamado OriginLogger<\/strong>que ha sido promocionado como el sucesor del ampliamente utilizado ladr\u00f3n de informaci\u00f3n y troyano de acceso remoto (RAT) conocido como agente tesla<\/a>.<\/p>\n Agente Tesla, un registrador de teclas y acceso remoto basado en .NET, ha tenido una presencia de larga data en el panorama de las amenazas, lo que permite a los actores maliciosos obtener acceso remoto a los sistemas espec\u00edficos y enviar informaci\u00f3n confidencial a un dominio controlado por el actor.<\/p>\n Se sabe que se usa en la naturaleza desde 2014, se anuncia para la venta en foros de la web oscura y generalmente se distribuye a trav\u00e9s de correos electr\u00f3nicos no deseados maliciosos como un archivo adjunto.<\/p>\n En febrero de 2021, la firma de ciberseguridad Sophos revel\u00f3 dos nuevas variantes del malware b\u00e1sico (versi\u00f3n 2 y 3) que presentaban capacidades para robar credenciales de navegadores web, aplicaciones de correo electr\u00f3nico y clientes VPN, adem\u00e1s de usar la API de Telegram para comando y control. .<\/p>\n Ahora, seg\u00fan el investigador de la Unidad 42, Jeff White, lo que se ha etiquetado como AgentTesla versi\u00f3n 3 es en realidad OriginLogger<\/a>que se dice que surgi\u00f3 para llenar el vac\u00edo dejado por el primero despu\u00e9s de que sus operadores cerraran el 4 de marzo de 2019, luego de problemas legales.<\/p>\n El punto de partida de la investigaci\u00f3n de la empresa de ciberseguridad fue un Video de Youtube<\/a> que se public\u00f3 en noviembre de 2018 detallando sus caracter\u00edsticas, lo que condujo al descubrimiento de una muestra de malware (“OriginLogger.exe<\/a>“) que se carg\u00f3 en la base de datos de malware VirusTotal el 17 de mayo de 2022.<\/p>\n El ejecutable es un binario generador que permite que un cliente comprado especifique los tipos de datos que se capturar\u00e1n, incluido el portapapeles, las capturas de pantalla y la lista de aplicaciones y servicios (por ejemplo, navegadores, clientes de correo electr\u00f3nico, etc.) desde los cuales se obtendr\u00e1n las credenciales. extra\u00eddo.<\/p>\n La autenticaci\u00f3n del usuario se logra mediante el env\u00edo de una solicitud a un servidor OriginLogger, que se resuelve en los nombres de dominio 0xfd3[.]com y su contraparte m\u00e1s reciente originpro[.]me basado en dos artefactos de construcci\u00f3n compilados el 6 de septiembre de 2020 y el 29 de junio de 2022.<\/p>\n Unit 42 dijo que pudo identificar un perfil de GitHub con el nombre de usuario 0xfd3 que alojaba dos repositorios de c\u00f3digo fuente para robar contrase\u00f1as de Google Chrome y Microsoft Outlook, los cuales se usan en OrionLogger.<\/p>\n OrionLogger, como el Agente Tesla, se entrega a trav\u00e9s de un se\u00f1uelo documento de Microsoft Word<\/a> que, cuando se abre, est\u00e1 dise\u00f1ado para mostrar una imagen de un pasaporte para un ciudadano alem\u00e1n y una tarjeta de cr\u00e9dito, junto con una serie de hojas de c\u00e1lculo de Excel incrustadas en \u00e9l.<\/p>\n Las hojas de trabajo, a su vez, contienen una macro de VBA que utiliza MSHTA<\/a> para invocar una p\u00e1gina HTML alojada en un servidor remoto que, por su parte, incluye un c\u00f3digo JavaScript ofuscado para obtener dos archivos binarios codificados alojados en Bitbucket.<\/p>\n La primera de las dos piezas de malware es un cargador que utiliza la t\u00e9cnica de proceso de vaciado<\/a> para inyectar el segundo ejecutable, la carga \u00fatil de OrionLogger, en el proceso aspnet_compiler.exe<\/a>una utilidad leg\u00edtima para precompilar aplicaciones ASP.NET.<\/p>\n “El malware utiliza m\u00e9todos probados y verdaderos e incluye la capacidad de registrar teclas, robar credenciales, tomar capturas de pantalla, descargar cargas \u00fatiles adicionales, cargar sus datos en una mir\u00edada de formas e intentar evitar la detecci\u00f3n”, dijo White.<\/p>\n Adem\u00e1s, un an\u00e1lisis de un corpus de m\u00e1s de 1900 muestras muestra que los mecanismos de exfiltraci\u00f3n m\u00e1s comunes para enviar los datos al atacante son a trav\u00e9s de SMTP, FTP, cargas web al panel OrionLogger y Telegram con la ayuda de 181 bots \u00fanicos.<\/p>\n “Los keyloggers comerciales hist\u00f3ricamente han atendido a atacantes menos avanzados, pero como se ilustra en el documento de se\u00f1uelo inicial analizado aqu\u00ed, esto no hace que los atacantes sean menos capaces de usar m\u00faltiples herramientas y servicios para ofuscar y hacer que el an\u00e1lisis sea m\u00e1s complicado”, dijo White.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n![\"Registrador](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1663146825_149_Los-investigadores-detallan-OriginLogger-RAT-sucesor-del-agente-Tesla-Malware.jpg\" "\\"Registrador")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n