Τα Trojans Remote Access αυξάνονται τα τελευταία χρόνια και έχουν γίνει πιο συνηθισμένα ακόμη και από μερικά από τα πιο κοινά είδη κακόβουλου λογισμικού στον κόσμο. Συγκεκριμένα, από το ξέσπασμα του COVID-19, το trojan απομακρυσμένης πρόσβασης Agent Tesla (RAT) εκμεταλλεύτηκε με επιτυχία τους φόβους της πανδημίας και πρόσθεσε πολλά νέα χαρακτηριστικά. Ο πράκτορας Tesla έφτασε για πρώτη φορά στη σκηνή πριν από εννέα χρόνια και εμφανίστηκε σε περισσότερες επιθέσεις το πρώτο εξάμηνο του 2020 από τις πολύ δημοφιλείς απειλές κακόβουλου λογισμικού TrickBot ή Emotet, ιδιαίτερα εναντίον επιχειρήσεων.
Η Agent Tesla ειδικεύεται στην καταγραφή κλειδιών και την κλοπή δεδομένων. Τα νέα δυαδικά αρχεία του προσφέρουν πιο ισχυρές μεθόδους διασποράς και έγχυσης και μπορούν να κλέψουν λεπτομέρειες και διαπιστευτήρια ασύρματου δικτύου. Η Agent Tesla μπορεί επίσης να συλλέξει δεδομένα διαμόρφωσης και διαπιστευτήρια από πολλούς κοινούς πελάτες VPN, πελάτες FTP και email και προγράμματα περιήγησης ιστού, συμπεριλαμβανομένων Apple Safari, Google Chrome, Edge, Mozilla Firefox, Mozilla Thunderbird, OpenVPN, Opera Mail και πολλοί άλλοι.
Ένα άλλο νέο χαρακτηριστικό αυτού του παλαιότερου Trojan Remote Access είναι ότι οι παραλλαγές μπορούν τώρα να ανακτήσουν δευτερεύοντα εκτελέσιμα για εγκατάσταση στον υπολογιστή του θύματος και στη συνέχεια να εισάγουν κώδικα σε αυτά τα δυαδικά αρχεία δεύτερου σταδίου ως μέθοδος ανίχνευσης αποφυγής.
Σε μια εκστρατεία, οι ερευνητές παρατήρησαν τον πράκτορα Tesla να ρίχνει ένα αντίγραφο του RegAsm.exe και να εισάγει επιπλέον κώδικα σε αυτό. Ως εκ τούτου, το RegAsm.exe χειρίστηκε τις κύριες εργασίες συλλογής και εξαγωγής δεδομένων. Η έγχυση πραγματοποιείται μέσω διεργασίας hollowing, κατά την οποία τμήματα της μνήμης του συστήματος δεν αντιστοιχίζονται με αυτόν τον χώρο και στη συνέχεια ανακατανέμονται με κακόβουλο κώδικα.
Άλλες βελτιώσεις έχουν παρατηρηθεί στη συμπεριφορά εκτέλεσης του κακόβουλου λογισμικού. Μετά την εκκίνηση του κώδικα, το κακόβουλο λογισμικό συλλέγει πληροφορίες τοπικού συστήματος, εγκαθιστά ένα keylogger και στη συνέχεια προετοιμάζει τις ρουτίνες για την ανακάλυψη και τη συλλογή δεδομένων. Κατά τη διάρκεια αυτής της διαδικασίας, το κακόβουλο λογισμικό σαρώνει για ρυθμίσεις και διαπιστευτήρια ασύρματου δικτύου.
Αν και ο πράκτορας Tesla υπάρχει εδώ και αρκετά χρόνια, οι επιτιθέμενοι αναπτύσσουν συνεχώς νέους τρόπους για να το χρησιμοποιήσουν διατηρώντας την ανωνυμία και αποφεύγοντας τον εντοπισμό.