Троянските коне за отдалечен достъп се увеличават през последните години и са станали по-често срещани дори от някои от най-разпространените видове зловреден софтуер в света. По-специално, след избухването на COVID-19, троянският кон за отдалечен достъп (RAT) на Agent Tesla успешно се възползва от страховете от пандемия и добави няколко нови функции. Агент Tesla за първи път пристигна на сцената преди девет години и беше включен в повече атаки през първата половина на 2020 г., отколкото много популярните заплахи за зловреден софтуер TrickBot или Emotet, особено срещу бизнеса.
Агент Tesla е специализиран в keylogging и кражба на данни. Новите бинарни файлове предлагат по-стабилни методи за разпространение и инжектиране и са способни да крадат подробности и идентификационни данни за безжична мрежа. Agent Tesla може също да събира конфигурационни данни и идентификационни данни от няколко общи VPN клиенти, FTP и имейл клиенти и уеб браузъри, включително Apple Safari, Google Chrome, Edge, Mozilla Firefox, Mozilla Thunderbird, OpenVPN, Opera Mail и много други.
Друга нова функция на този по-стар троянски кон за отдалечен достъп е, че вариантите вече могат да извличат вторични изпълними файлове за инсталиране на машината на жертвата и впоследствие да инжектират код в тези двоични файлове от втори етап като метод за откриване на избягване.
В една кампания изследователите наблюдават как агент Тесла пуска копие на RegAsm.exe и инжектира допълнителен код в него; следователно RegAsm.exe се справи с основните задачи за събиране и ексфилтриране на данни. Инжектирането се извършва чрез изпъкване на процес, при което секции от системната памет се декартират с това пространство, след което се преразпределят със злонамерен код.
Други подобрения са наблюдавани в поведението на изпълнение на злонамерения софтуер. След като кодът бъде стартиран, злонамереният софтуер събира локална системна информация, инсталира keylogger и след това инициализира рутинни процедури за откриване и събиране на данни. По време на този процес зловредният софтуер сканира за настройки на безжичната мрежа и идентификационни данни.
Въпреки че Agent Tesla съществува от няколко години, нападателите непрекъснато разработват нови начини да го използват, като същевременно запазват анонимност и избягват откриването.