Trojanoj de Fora Aliro pligrandiĝas en la lastaj jaroj kaj fariĝis pli oftaj ol eĉ kelkaj el la plej oftaj malware-streĉoj en la mondo. Precipe, ekde la ekapero de COVID-19, la Agento Tesla fora-alira trojano (RAT) sukcese ekspluatis pandemiajn timojn kaj aldonis plurajn novajn funkciojn. Agento Tesla unue alvenis sur la scenon antaŭ naŭ jaroj kaj estis prezentita en pli da atakoj en la unua duono de 2020 ol la tre popularaj malware minacoj TrickBot aŭ Emotet, precipe kontraŭ entreprenoj.
Agento Tesla specialiĝas pri klavado kaj ŝtelado de datumoj. Ĝiaj novaj binaroj ofertas pli fortikajn disvastigajn kaj injektajn metodojn kaj kapablas ŝteli sendratajn retajn detalojn kaj akreditaĵojn. Agento Tesla ankaŭ povas rikolti agordajn datumojn kaj akreditaĵojn de pluraj oftaj VPN-klientoj, FTP kaj retpoŝtaj klientoj kaj retumiloj, inkluzive de Apple Safari, Google Chrome, Edge, Mozilla Firefox, Mozilla Thunderbird, OpenVPN, Opera Mail kaj multaj aliaj.
Alia nova funkcio de ĉi tiu pli malnova Remote Access Trojan estas, ke variantoj nun povas alporti malĉefajn ruleblajn ekzekutaĵojn por instali sur la maŝino de viktimo kaj poste injekti kodon en tiujn dufazan binarojn kiel evasion-detekta metodo.
En unu kampanjo, esploristoj observis agenton Tesla faligante kopion de RegAsm.exe kaj injekti plian kodon en ĝi; tial, RegAsm.exe pritraktis la ĉefajn laborpostenojn de datuma rikoltado kaj eksfiltrado. La injekto estas farita per proceza kavigado, en kiu sekcioj de sistemmemoro estas nemapitaj kun tiu spaco tiam estante reasignitaj kun malica kodo.
Aliaj plibonigoj estis observitaj en la ekzekutkonduto de la malware. Post kiam la kodo estas lanĉita, la malware kolektas lokajn sistemajn informojn, instalas klavregistrilon kaj poste pravigas rutinojn por malkovri kaj rikolti datumojn. Dum ĉi tiu procezo, la malware skanas por sendrataj retaj agordoj kaj akreditaĵoj.
Kvankam agento Tesla ekzistas jam de pluraj jaroj, atakantoj daŭre disvolvas novajn manierojn uzi ĝin konservante anonimecon kaj evitante detekton.