원격 액세스 트로이 목마는 최근 몇 년 동안 급증하고 있으며 세계에서 가장 일반적인 악성 코드 변종보다 더 흔해졌습니다. 특히, 코로나19 발생 이후 Agent Tesla 원격 액세스 트로이 목마(RAT)는 전염병에 대한 두려움을 성공적으로 활용하고 몇 가지 새로운 기능을 추가했습니다. Agent Tesla는 2020년 전 현장에 처음 등장했으며 XNUMX년 상반기에 특히 기업을 대상으로 한 매우 인기 있는 맬웨어 위협인 TrickBot 또는 Emotet보다 더 많은 공격에 등장했습니다.
Agent Tesla는 키로깅과 데이터 절도를 전문으로 합니다. 새로운 바이너리는 보다 강력한 확산 및 주입 방법을 제공하며 무선 네트워크 세부 정보 및 자격 증명을 훔칠 수 있습니다. 또한 Agent Tesla는 다음을 포함한 여러 일반 VPN 클라이언트, FTP, 이메일 클라이언트 및 웹 브라우저에서 구성 데이터와 자격 증명을 수집할 수 있습니다. 애플 사파리, 구글 크롬, 엣지, 모질라 파이어폭스, 모질라 썬더버드, OpenVPN, 오페라 메일 그리고 다른 많은.
이 오래된 원격 액세스 트로이 목마의 또 다른 새로운 기능은 이제 변종들이 보조 실행 파일을 가져와서 피해자의 컴퓨터에 설치한 다음 회피 탐지 방법으로 해당 XNUMX단계 바이너리에 코드를 삽입할 수 있다는 것입니다.
한 캠페인에서 연구원들은 Tesla 요원이 RegAsm.exe의 복사본을 떨어뜨리고 여기에 추가 코드를 주입하는 것을 관찰했습니다. 따라서 RegAsm.exe는 데이터 수집 및 유출의 주요 작업을 처리했습니다. 주입은 시스템 메모리 섹션을 해당 공간과 매핑 해제한 다음 악성 코드로 재할당하는 프로세스 비우기를 통해 수행됩니다.
악성코드의 실행 동작에서 다른 개선 사항도 관찰되었습니다. 코드가 실행된 후 악성코드는 로컬 시스템 정보를 수집하고 키로거를 설치한 다음 루틴을 초기화하여 데이터를 검색하고 수집합니다. 이 과정에서 악성코드는 무선 네트워크 설정 및 자격 증명을 검색합니다.
Agent Tesla가 등장한 지 수년이 지났지만 공격자들은 익명성을 유지하고 탐지를 피하면서 이를 활용할 수 있는 새로운 방법을 지속적으로 개발하고 있습니다.