OriginLogger adlı kötü amaçlı yazılım, yakın zamanda Palo Alto Networks Unit 42’den güvenlik uzmanları tarafından ayrıntılı olarak incelendi. OriginLogger’ın, Ajan Tesla’nın yerini alacağına inanılıyor ve bu, yaygın olarak kullanılan bir bilgi hırsızı ve RAT.
Tesla, .NET tabanlı bir keylogger ve uzaktan erişim aracıdır. Bu kötü amaçlı yazılım, operatörlerinin hedef sistemlere uzaktan kolayca erişmesini sağlar ve hassas verileri aktör tarafından kontrol edilen bir C2’ye gönderir.
2014’ten beri karanlık web forumlarında satışa sunuldu ve o zamandan beri vahşi doğada kullanıldığı biliniyor. Ekleri olan kötü amaçlı spam e-postalar genellikle bu virüsü dağıtmak için kullanılır.
OriginLogger
Kötü amaçlı yazılım (sürüm 2, 3) siber güvenlik firması Sophos tarafından Şubat 2021’de açıklandı. Bu sürümler, aşağıdakilerden kimlik bilgilerini çalma özelliklerine sahipti:-
- internet tarayıcıları
- E-posta uygulamaları
- VPN istemcileri
- Telgraf
Agent Tesla’nın 3. versiyonunun aslında OriginLogger olduğu iddia ediliyor ve bu da bazı bilgilere dayanıyor.
Siber güvenlik firmasının Kasım 2018’de yayınladığı, siber güvenlik firmasının özelliklerini detaylandıran bir YouTube videosu, siber güvenlik firmasının soruşturmasının başlangıç noktası oldu.
Sonuç olarak, VirusTotal kötü amaçlı yazılım veritabanında, 17 Mayıs 2022’de yüklenen OriginLogger.exe başlıklı ve VirusTotal’ın mülkiyetinde olan bir kötü amaçlı yazılım örneği arandı.
OriginLogger Özellikleri
Bir oluşturucu ikili dosyası olarak yürütülebilir dosya, müşterilere işlevselliğinin bir parçası olarak aşağıdaki özellikleri sağlar:-
- Çoklu Dil Desteği
- 3 Farklı Teslimat: PHP, SMTP ve FTP
- tuş kaydedici
- renkli günlük
- Ekran Görüntüsü Kaydedici
- Çoklu Dosya Bağlayıcı
- Pano Kaydedici
- SmartLogger
- Şifre kurtarma
- Web Paneli
- 7/24 Destek
- Sahte Mesaj
- otomatik satın al
- Kararlı ve Hızlı
- Saf Kod
- Tüm Windows İşletim Sistemi Desteklenir
- UAC Baypas: 7/8/10 kazanın
- Montaj ve Simge Seçeneği
Kimlik doğrulama sürecinin bir parçası olarak, kullanıcının kimliğini doğrulamak için OriginLogger sunucusuna bir istek gönderilir. Aşağıdaki alan adları aşağıdaki adreslere çözümlenir: –
- 0xfd3[.]com
- orijin pro[.]ben
Birim 42 tarafından yapılan araştırma sonucunda 0xfd3 kullanıcı adına sahip bir GitHub profili tespit edildi. Soruşturma sırasında, bu profil tarafından iki kaynak kod deposunun barındırıldığı tespit edildi. OrionLogger’ı kullanarak aşağıdaki platformlardan şifreleri çalmak için kullanılırken: –
- Google Chrome
- Microsoft Outlook
Ajan Tesla’nın yaptığı gibi, OrionLogger’ı kurbanlara teslim etmek için sahte bir Microsoft Word belgesi kullanılır. Belge, içine katıştırılmış bir dizi Excel Çalışma Sayfası içerir.
Bunlardan biri, bir Alman vatandaşının pasaportunun resmini ve kredi kartını gösteren bir resim içerir ve ayrıca pasaportların kopyalarını içerir.
Ayrıca, çalışma sayfalarının her biri, çalışma sayfaları yüklendikten sonra uzak bir sunucuda barındırılan HTML sayfasını çağıran bir VBA makrosu içerir.
Birçok yönden OriginLogger ve Agent Tesla benzer keyloggerlardır. Ancak OriginLogger, metalaştırılmış bir keylogger’dır.
İlk cazibe belgesinde açıklandığı gibi, ticari keylogger’lar daha az gelişmiş ve karmaşık tehdit aktörlerine hitap etme eğilimindedir. Ticari keylogger’lara, kötü amaçlı yazılımları ele alacağı şekilde uygulanması gereken çok fazla dikkat vardır.
SWG’yi İndirin – Güvenli Web Filtreleme – Özgür e-kitap