Els troians d'accés remot estan augmentant en els últims anys i s'han tornat més comuns fins i tot que algunes de les soques de programari maliciós més comuns del món. En particular, des de l'esclat de la COVID-19, el troià d'accés remot (RAT) de l'Agent Tesla ha explotat amb èxit les pors de pandèmia i ha afegit diverses funcions noves. L'agent Tesla va arribar per primera vegada a l'escena fa nou anys i va participar en més atacs durant la primera meitat del 2020 que les amenaces de programari maliciós molt populars TrickBot o Emotet, especialment contra les empreses.
L'agent Tesla s'especialitza en el registre de tecles i el robatori de dades. Els seus nous binaris ofereixen mètodes de difusió i injecció més robusts i són capaços de robar detalls i credencials de la xarxa sense fil. L'agent Tesla també pot recollir dades de configuració i credencials de diversos clients VPN comuns, clients FTP i de correu electrònic i navegadors web, inclosos Apple Safari, Google Chrome, Edge, Mozilla Firefox, Mozilla Thunderbird, OpenVPN, Opera Mail i molts altres.
Una altra característica nova d'aquest antic troià d'accés remot és que les variants ara poden obtenir executables secundaris per instal·lar-los a la màquina d'una víctima i, posteriorment, injectar codi en aquests binaris de segona etapa com a mètode de detecció d'evasió.
En una campanya, els investigadors van observar que l'agent Tesla deixava caure una còpia de RegAsm.exe i hi injectava codi addicional; per tant, RegAsm.exe s'encarregava de les principals tasques de recollida i exfiltració de dades. La injecció es realitza mitjançant un procés buit, en el qual les seccions de la memòria del sistema es desmapegen amb aquest espai i després es reassignen amb codi maliciós.
S'han observat altres millores en el comportament d'execució del programari maliciós. Després de llançar el codi, el programari maliciós recopila informació del sistema local, instal·la un keylogger i, a continuació, inicialitza rutines per descobrir i recollir dades. Durant aquest procés, el programari maliciós cerca la configuració i les credencials de la xarxa sense fil.
Tot i que l'agent Tesla fa uns quants anys que existeix, els atacants desenvolupen contínuament noves maneres d'utilitzar-lo mantenint l'anonimat i evitant la detecció.