تتزايد أحصنة طروادة ذات الوصول عن بعد في السنوات الأخيرة وأصبحت أكثر شيوعًا حتى من بعض سلالات البرامج الضارة الأكثر شيوعًا في العالم. على وجه الخصوص، منذ تفشي فيروس كورونا (COVID-19)، نجح حصان طروادة Agent Tesla للوصول عن بعد (RAT) في استغلال المخاوف الوبائية وإضافة العديد من الميزات الجديدة. ظهر العميل Tesla لأول مرة على الساحة منذ تسع سنوات وظهر في النصف الأول من عام 2020 في عدد من الهجمات أكبر من تهديدات البرامج الضارة الشائعة جدًا TrickBot أو Emotet، خاصة ضد الشركات.
العميل Tesla متخصص في تسجيل لوحة المفاتيح وسرقة البيانات. توفر الثنائيات الجديدة طرق نشر وحقن أكثر قوة وقادرة على سرقة تفاصيل الشبكة اللاسلكية وبيانات الاعتماد. يستطيع Agent Tesla أيضًا جمع بيانات التكوين وبيانات الاعتماد من العديد من عملاء VPN الشائعين وعملاء FTP والبريد الإلكتروني ومتصفحات الويب، بما في ذلك أبل سفاري، جوجل كروم، إيدج، موزيلا فايرفوكس، موزيلا ثندربيرد، OpenVPN، أوبرا ميل وغيرها الكثير.
ميزة جديدة أخرى لطروادة الوصول عن بعد الأقدم هي أن المتغيرات يمكنها الآن جلب الملفات التنفيذية الثانوية لتثبيتها على جهاز الضحية ومن ثم حقن التعليمات البرمجية في ثنائيات المرحلة الثانية كطريقة لكشف التهرب.
في إحدى الحملات، لاحظ الباحثون أن العميل تيسلا يسقط نسخة من RegAsm.exe ويحقن كودًا إضافيًا فيها؛ ولذلك، تولى RegAsm.exe المهام الرئيسية المتمثلة في جمع البيانات وترشيحها. يتم إجراء الحقن عبر عملية التجويف، حيث يتم إلغاء تعيين أجزاء من ذاكرة النظام بتلك المساحة ثم يتم إعادة تخصيصها باستخدام تعليمات برمجية ضارة.
وقد لوحظت تحسينات أخرى في سلوك تنفيذ البرامج الضارة. بعد إطلاق الكود، تقوم البرمجيات الخبيثة بجمع معلومات النظام المحلي، وتثبيت برنامج تسجيل المفاتيح ثم تهيئة الإجراءات الروتينية لاكتشاف البيانات وجمعها. أثناء هذه العملية، تقوم البرامج الضارة بالبحث عن إعدادات الشبكة اللاسلكية وبيانات الاعتماد.
على الرغم من وجود العميل Tesla منذ عدة سنوات، إلا أن المهاجمين يطورون باستمرار طرقًا جديدة لاستخدامه مع الحفاظ على عدم الكشف عن هويته وتجنب اكتشافه.