Vzdálený přístup trojských koní v posledních letech prudce stoupá a staly se běžnějšími než některé z nejběžnějších světových malwarových kmenů. Konkrétně od vypuknutí COVID-19 trojan Agent Tesla pro vzdálený přístup (RAT) úspěšně využil pandemických obav a přidal několik nových funkcí. Agent Tesla poprvé dorazil na scénu před devíti lety a v první polovině roku 2020 se objevil ve více útocích než velmi populární malwarové hrozby TrickBot nebo Emotet, zejména proti podnikům.
Agent Tesla se specializuje na keylogging a data-stealing. Jeho nové binární soubory nabízejí robustnější metody šíření a vkládání a jsou schopny ukrást podrobnosti o bezdrátové síti a přihlašovací údaje. Agent Tesla může také získávat konfigurační data a přihlašovací údaje z několika běžných klientů VPN, FTP a e-mailových klientů a webových prohlížečů, včetně Apple Safari, Google Chrome, Edge, Mozilla Firefox, Mozilla Thunderbird, OpenVPN, Opera Mail a mnoho dalších.
Další novou funkcí tohoto staršího trojského koně pro vzdálený přístup je to, že varianty nyní mohou načítat sekundární spustitelné soubory k instalaci na počítač oběti a následně vložit kód do těchto binárních souborů druhé fáze jako metodu detekce úniku.
V jedné kampani vědci pozorovali, jak agent Tesla upustil kopii RegAsm.exe a vložil do ní další kód; proto se RegAsm.exe zabýval hlavními úkoly sběru dat a exfiltrace. Injekce se provádí procesem hollowing, ve kterém jsou části systémové paměti odmapovány s tímto prostorem a poté jsou znovu alokovány se škodlivým kódem.
Další vylepšení byla pozorována v chování malwaru při provádění. Po spuštění kódu malware shromažďuje informace o místním systému, nainstaluje keylogger a poté inicializuje rutiny pro zjišťování a získávání dat. Během tohoto procesu malware vyhledává nastavení bezdrátové sítě a přihlašovací údaje.
Přestože agent Tesla existuje již několik let, útočníci neustále vyvíjejí nové způsoby, jak jej využít při zachování anonymity a zamezení odhalení.