Palo Alto Networks Unit 42 hat das Innenleben einer Malware namens OriginLogger aufgedeckt, die als Nachfolger des weit verbreiteten Informationsdiebstahls und Fernzugriffstrojaners (RAT) Agent Tesla gehandelt wird.
Agent Tesla ist ein .NET-basierter Keylogger und Fernzugriffstrojaner, der seit langem in der Bedrohungslandschaft präsent ist und es böswilligen Akteuren ermöglicht, sich aus der Ferne Zugang zu den Zielsystemen zu verschaffen und sensible Informationen an eine vom Akteur kontrollierte Domain zu senden.
Seit 2014 ist bekannt, dass er in freier Wildbahn eingesetzt wird. Er wird in Dark-Web-Foren zum Verkauf angeboten und in der Regel über bösartige Spam-E-Mails als Anhang verbreitet.
Im Februar 2021 enthüllte das Cybersecurity-Unternehmen Sophos zwei neue Varianten der Commodity-Malware (Version 2 und 3), die in der Lage sind, Zugangsdaten von Webbrowsern, E-Mail-Apps und VPN-Clients zu stehlen und die Telegram-API zur Steuerung zu nutzen.
Nach Angaben des Unit 42-Forschers Jeff White handelt es sich bei der Version 3 von AgentTesla in Wirklichkeit um OriginLogger, das die Lücke füllen soll, die der AgentTesla nach der Schließung seiner Betreiber am 4. März 2019 aufgrund rechtlicher Probleme hinterlassen hat.
Ausgangspunkt für die Ermittlungen der Cybersecurity-Firma war ein YouTube-Video, das im November 2018 gepostet wurde und in dem die Funktionen des Programms beschrieben wurden. Daraufhin wurde ein Malware-Beispiel („OriginLogger.exe“) entdeckt, das am 17. Mai 2022 in die VirusTotal Malware-Datenbank hochgeladen wurde.
Bei der ausführbaren Datei handelt es sich um eine Builder-Binärdatei, mit der ein gekaufter Kunde die Art der zu erfassenden Daten angeben kann, einschließlich der Zwischenablage, Screenshots und der Liste der Anwendungen und Dienste (z. B. Browser, E-Mail-Clients usw.), aus denen die Anmeldedaten extrahiert werden sollen.
Die Benutzerauthentifizierung erfolgt durch das Senden einer Anfrage an einen OriginLogger-Server, der zu den Domänennamen 0xfd3[.]com und seinem neueren Gegenstück originpro[.]me aufgelöst wird, basierend auf zwei Builder-Artefakten, die am 6. September 2020 und am 29. Juni 2022 erstellt wurden.
Unit 42 konnte ein GitHub-Profil mit dem Benutzernamen 0xfd3 identifizieren, das zwei Quellcode-Repositories für den Diebstahl von Passwörtern aus Google Chrome und Microsoft Outlook beherbergt, die beide in OrionLogger verwendet werden.
OrionLogger wird wie Agent Tesla über ein gefälschtes Microsoft Word-Dokument verbreitet, das, wenn es geöffnet wird, das Bild eines deutschen Reisepasses und einer Kreditkarte sowie eine Reihe von darin eingebetteten Excel-Arbeitsblättern anzeigt.
Die Arbeitsblätter wiederum enthalten ein VBA-Makro, das MSHTA verwendet, um eine HTML-Seite auf einem entfernten Server aufzurufen, die ihrerseits einen verschleierten JavaScript-Code enthält, um zwei verschlüsselte Binärdateien von Bitbucket zu holen.
Die erste der beiden Schaddateien ist ein Loader, der die Technik des Process Hollowing nutzt, um die zweite ausführbare Datei, die OrionLogger Payload, in den Prozess aspnet_compiler.exe einzuschleusen, ein legitimes Dienstprogramm zur Vorkompilierung von ASP.NET-Anwendungen.
„Die Malware nutzt bewährte Methoden und kann unter anderem Keylogging betreiben, Anmeldedaten stehlen, Screenshots erstellen, zusätzliche Nutzdaten herunterladen, Daten auf unzählige Arten hochladen und versuchen, sich der Entdeckung zu entziehen“, so White.
Eine Analyse von mehr als 1.900 Beispielen zeigt außerdem, dass die gängigsten Exfiltrationsmechanismen für das Zurückschicken der Daten an den Angreifer über SMTP, FTP, Web-Uploads zum OrionLogger-Panel und Telegram mit Hilfe von 181 einzigartigen Bots erfolgen.
„Kommerzielle Keylogger haben sich in der Vergangenheit an weniger fortgeschrittene Angreifer gewandt, aber wie das hier analysierte erste Köderdokument zeigt, sind die Angreifer deshalb nicht weniger in der Lage, mehrere Tools und Dienste zu nutzen, um die Analyse zu verschleiern und zu erschweren“, so White weiter.