Trojanci s daljinskim pristupom posljednjih su godina u porastu i postali su češći čak i od nekih od najčešćih oblika zlonamjernog softvera u svijetu. Konkretno, od izbijanja COVID-19, Agent Tesla trojanac s daljinskim pristupom (RAT) uspješno je iskoristio strahove od pandemije i dodao nekoliko novih značajki. Agent Tesla je prvi put stigao na scenu prije devet godina i bio je uključen u više napada u prvoj polovici 2020. od vrlo popularnih zlonamjernih prijetnji TrickBot ili Emotet, osobito protiv tvrtki.
Agent Tesla je specijaliziran za keylogging i krađu podataka. Njegove nove binarne datoteke nude robusnije metode širenja i ubrizgavanja i sposobne su za krađu podataka o bežičnoj mreži i vjerodajnica. Agent Tesla također može prikupiti konfiguracijske podatke i vjerodajnice iz nekoliko uobičajenih VPN klijenata, FTP i klijenata e-pošte i web preglednika, uključujući Apple Safari, Google Chrome, Edge, Mozilla Firefox, Mozilla Thunderbird, OpenVPN, Opera Mail i mnogi drugi.
Još jedna nova značajka ovog starijeg trojanca s daljinskim pristupom je da varijante sada mogu dohvatiti sekundarne izvršne datoteke za instaliranje na žrtvin stroj i potom ubaciti kod u te binarne datoteke drugog stupnja kao metodu otkrivanja izbjegavanja.
U jednoj kampanji, istraživači su primijetili kako agent Tesla ispušta kopiju RegAsm.exe i ubacuje dodatni kod u nju; stoga je RegAsm.exe obavljao glavne poslove prikupljanja i eksfiltracije podataka. Injekcija se izvodi putem izdubljivanja procesa, u kojem se dijelovi sistemske memorije nemapiraju s tim prostorom koji se potom ponovno dodjeljuje zlonamjernim kodom.
Ostala poboljšanja primijećena su u ponašanju izvršavanja zlonamjernog softvera. Nakon što se kod pokrene, zlonamjerni softver prikuplja informacije o lokalnom sustavu, instalira keylogger i zatim pokreće rutine za otkrivanje i prikupljanje podataka. Tijekom ovog procesa zlonamjerni softver traži postavke bežične mreže i vjerodajnice.
Iako Agent Tesla postoji već nekoliko godina, napadači neprestano razvijaju nove načine da ga iskoriste uz zadržavanje anonimnosti i izbjegavanje otkrivanja.