Egy szofisztikált adathalász kampány Microsoft Word dokumentumot használ az Agent Tesla, az OriginBotnet és az OriginLogger nevű káros kódok terjesztésére és információgyűjtésre.
“Az adathalász e-mail mellékletében szerepel a Word dokumentum, amelyben van egy elmosódott kép és egy hamisított reCAPTCHA, hogy a címzettet megtévessze és kattintást eszközöljön ki” – mondta Cara Lin, a Fortinet FortiGuard Labs kutatója.
A képre kattintva egy távoli szerverről származó letöltőprogramot kapunk, amely a keylogger és jelszó visszaállításra szolgáló OriginBotnet, a kriptovaluta lopásra szolgáló RedLine Clipper, valamint az érzékeny információk begyűjtésére szolgáló Agent Tesla terjesztésére szolgál.
A .NET nyelven írt program a bináris feltöltésnek nevezett technikát alkalmazza, azaz nullbájtok hozzáadásával 400 MB-ra növeli a fájl méretét, hogy megpróbálja elkerülni a biztonsági szoftverek általi észlelést.
Az aktiválás egy többlépcsős folyamatot indít el, amelynek célja a hoston való perzisztencia létrehozása és egy DLL fájl kinyerése, amely a payloadok felszabadításáért felelős.
A RedLine Clipper, egy .NET futtatható fájl, amely kriptovaluták ellopására szolgál a felhasználó vágólapjának manipulálásával, hogy a célpénztárca címét a támadó címére cserélje. Ehhez az ‘OnClipboardChangeEventHandler’ eseménykezelőt használja, hogy rendszeresen figyelje a vágólap változásait, és ellenőrizze, hogy a másolt string megfelel-e a szabályos kifejezésnek.
Az Agent Tesla egy .NET alapú RAT és adatlopó, amely kezdeti hozzáférést, majd érzékeny információkat tud szerezni. Figyeli a billentyűleütéseket és a webböngészőkben használt bejelentkezési hitelesítő adatokat szivárogtatja ki egy C2 szerverre SMTP protokollon keresztül.
Az OriginBotnet számos olyan funkciót tartalmaz, amelyekkel adatokat gyűjthet, kommunikációt létesíthet a C2 szerverével, és kiegészítő bővítményeket tölthet le a szerverről, amelyekkel billentyűzetfigyelési vagy jelszó visszaállítási funkciókat hajthat végre a célgépen.
A Palo Alto Networks Unit 42 2022 szeptemberében részletesen bemutatott egy OriginLogger nevű Agent Tesla utódot, amely hasonló funkciókkal rendelkezik, mint az OriginBotnet, ami arra utal, hogy mindkettő ugyanazon fenyegetési aktor fejlesztése lehet.