I trojan di accesso remoto sono aumentati negli ultimi anni e sono diventati più comuni anche di alcuni dei ceppi di malware più diffusi al mondo. In particolare, dall’epidemia di COVID-19, il trojan di accesso remoto (RAT) Agent Tesla ha sfruttato con successo i timori pandemici e ha aggiunto diverse nuove funzionalità. L’agente Tesla è arrivato sulla scena per la prima volta nove anni fa e nella prima metà del 2020 è stato protagonista di più attacchi rispetto alle popolarissime minacce malware TrickBot o Emotet, in particolare contro le aziende.
L'agente Tesla è specializzato nel keylogging e nel furto di dati. I nuovi file binari offrono metodi di diffusione e iniezione più robusti e sono in grado di rubare dettagli e credenziali della rete wireless. L'agente Tesla può anche raccogliere dati di configurazione e credenziali da diversi client VPN comuni, client FTP ed e-mail e browser Web, inclusi Apple Safari, Google Chrome, Edge, Mozilla Firefox, Mozilla Thunderbird, OpenVPN, Opera Mail e molti altri.
Un'altra nuova caratteristica di questo vecchio trojan di accesso remoto è che le varianti ora possono recuperare eseguibili secondari da installare sul computer della vittima e successivamente iniettare codice in quei file binari di seconda fase come metodo di rilevamento dell'evasione.
In una campagna, i ricercatori hanno osservato che l'agente Tesla rilasciava una copia di RegAsm.exe e vi iniettava codice aggiuntivo; pertanto, RegAsm.exe ha gestito i compiti principali di raccolta ed esfiltrazione dei dati. L'iniezione viene eseguita tramite svuotamento del processo, in cui sezioni della memoria di sistema vengono non mappate e lo spazio viene quindi riallocato con codice dannoso.
Sono stati osservati altri miglioramenti nel comportamento di esecuzione del malware. Dopo il lancio del codice, il malware raccoglie informazioni sul sistema locale, installa un keylogger e quindi inizializza le routine per scoprire e raccogliere dati. Durante questo processo, il malware esegue la scansione delle impostazioni e delle credenziali della rete wireless.
Sebbene l’agente Tesla sia in circolazione ormai da diversi anni, gli aggressori sviluppano continuamente nuovi modi per utilizzarlo mantenendo l’anonimato ed evitando di essere scoperti.