OriginLogger：Agent Tesla 的继任者

文章重点

• OriginLogger 是 Agent Tesla 的继任者，自2019年3月以来首次现身。
• 由 Palo Alto Networks’ Unit 42 首次发现并上传至 VirusTotal 。
• OriginLogger 可让攻击者自定义捕获数据的类型及来源。
• 利用恶意的 Microsoft Word 文件进行散播，该文件展示了德国公民的护照和信用卡图像。
• 内嵌的 VBA 宏允许从远端伺服器载入遭 obfuscate 的 JavaScript 代码，进而下载两个恶意软体。

OriginLogger 恶意软体被认为是受到欢迎的 Agent Tesla
遥控访问木马的继任者，自2019年3月该木马关闭以来，它于2022年5月17日被 Palo Alto Networks’ Unit 42
发现并上传至 VirusTotal 。该团队透过查找一段日期为2018年11月的YouTube视频，首次识别出 OriginLogger，标记其为
Agent Tesla 的版本3。 根据 Unit 42 的报告，攻击者可以利用 OriginLogger的构建二进制可执行文件来自定义要捕获的数据类型及其来源。

OriginLogger 和 Agent Tesla 都是通过一个恶意的 Microsoft Word文件分发的，该文件展示了一位德国公民的护照图像及信用卡，还附有几个 Excel 工作表。这些工作表中嵌入了一个 VBA宏，该宏使其能够检索一个托管于远端伺服器的 HTML 页面，该页面中包含一段经过混淆的 JavaScript代码，这段代码能够下载两个恶意软体，其中一个利用进程挖空技术来实现对 OriginLogger 的注入。Unit 42 的研究员 JeffWhite 指出：「这款恶意软体采用了经过验证的方法，具有键盘录制、窃取凭据、截图、下载附加负载、以多种方式上传数据以及尝试避免检测的能力。」

进一步阅读

这些资讯提醒使用者提升警觉，加强对电子邮件附件及来源不明文件的安全意识。