OriginLogger RAT — エージェント テスラ マルウェアの後継 from thehackernews.com

2021 年 2 月、サイバーセキュリティ企業の Sophos は、Web ブラウザ、メール アプリ、VPN クライアントから資格情報を盗み、コマンド アンド コントロールに Telegram API を使用する機能を備えた、コモディティ マルウェアの 2 つの新しい亜種 (バージョン 2 および 3) を公開しました。
サイバーセキュリティ企業の調査の出発点は、2018 年 11 月に投稿されたその機能の詳細を説明する YouTube ビデオであり、2022 年 5 月 17 日に VirusTotal マルウェア データベースにアップロードされたマルウェア サンプル (「OriginLogger.exe」) の発見につながりました。
ワークシートには、MSHTA を使用してリモート サーバーでホストされている HTML ページを呼び出す VBA マクロが含まれています。
2 つのマルウェアの 1 つ目は、プロセス ハロウイングの手法を利用して、2 つ目の実行可能ファイルである OrionLogger ペイロードを aspnetcompiler.exe プロセスに挿入するローダーです。
「このマルウェアは、実証済みの真の方法を使用しており、キーログ、資格情報の盗み取り、スクリーンショットの取得、追加のペイロードのダウンロード、無数の方法でのデータのアップロード、および検出の回避を試みる機能が含まれています」と White 氏は述べています。
さらに、1900 を超えるサンプルのコーパスを分析したところ、攻撃者にデータを送り返す最も一般的な抽出メカニズムは、SMTP、FTP、OrionLogger パネルへの Web アップロード、および 181 の固有のボットを利用したテレグラムによるものであることが示されています。