Os troianos de acceso remoto están aumentando nos últimos anos e fixéronse máis comúns incluso que algunhas das cepas de malware máis comúns do mundo. En particular, desde o brote de COVID-19, o troiano de acceso remoto (RAT) do axente Tesla explotou con éxito os medos pandémicos e engadiu varias funcións novas. O axente Tesla chegou a escena hai nove anos e apareceu en máis ataques no primeiro semestre de 2020 que as moi populares ameazas de malware TrickBot ou Emotet, especialmente contra as empresas.
O axente Tesla está especializado en rexistro de teclas e roubo de datos. Os seus novos binarios ofrecen métodos de propagación e inxección máis robustos e son capaces de roubar detalles e credenciais da rede sen fíos. O axente Tesla tamén pode recoller datos de configuración e credenciais de varios clientes VPN comúns, clientes FTP e correo electrónico e navegadores web, incluíndo Apple Safari, Google Chrome, Edge, Mozilla Firefox, Mozilla Thunderbird, OpenVPN, Opera Mail e moitos outros.
Outra característica nova deste antigo troiano de acceso remoto é que agora as variantes poden obter executables secundarios para instalar na máquina dunha vítima e, posteriormente, inxectar código neses binarios de segunda fase como método de detección de evasión.
Nunha campaña, os investigadores observaron que o axente Tesla soltaba unha copia de RegAsm.exe e inxectaba código adicional nel; polo tanto, RegAsm.exe xestionaba os principais traballos de recollida de datos e exfiltración. A inxección realízase mediante o proceso de oco, no cal as seccións da memoria do sistema son desmapeadas con ese espazo e despois son reasignadas con código malicioso.
Observáronse outras melloras no comportamento de execución do malware. Despois de lanzar o código, o malware recolle información do sistema local, instala un keylogger e, a continuación, inicializa rutinas para descubrir e recoller datos. Durante este proceso, o malware busca a configuración e as credenciais da rede sen fíos.
Aínda que o axente Tesla existe desde hai varios anos, os atacantes están a desenvolver continuamente novas formas de utilizalo mantendo o anonimato e evitando a detección.