Trojaanse paarden voor externe toegang zijn de afgelopen jaren in opkomst en komen vaker voor dan zelfs enkele van 's werelds meest voorkomende malwarevarianten. Met name sinds de uitbraak van COVID-19 heeft de Agent Tesla remote-access trojan (RAT) met succes de angst voor pandemieën uitgebuit en verschillende nieuwe functies toegevoegd. Agent Tesla verscheen negen jaar geleden voor het eerst op het toneel en was in de eerste helft van 2020 betrokken bij meer aanvallen dan de zeer populaire malwarebedreigingen TrickBot of Emotet, vooral tegen bedrijven.
Agent Tesla is gespecialiseerd in keylogging en gegevensstelen. De nieuwe binaire bestanden bieden robuustere verspreidings- en injectiemethoden en zijn in staat draadloze netwerkgegevens en inloggegevens te stelen. Agent Tesla kan ook configuratiegegevens en inloggegevens verzamelen van verschillende veelgebruikte VPN-clients, FTP- en e-mailclients en webbrowsers, waaronder Apple Safari, Google Chrome, Edge, Mozilla Firefox, Mozilla Thunderbird, OpenVPN, Opera Mail en vele anderen.
Een andere nieuwe functie van deze oudere Remote Access Trojan is dat varianten nu secundaire uitvoerbare bestanden kunnen ophalen om op de machine van een slachtoffer te installeren en vervolgens code in die tweede fase binaire bestanden kunnen injecteren als een ontduikingsdetectiemethode.
In één campagne zagen onderzoekers dat Agent Tesla een kopie van RegAsm.exe liet vallen en er extra code in injecteerde; daarom verzorgde RegAsm.exe de belangrijkste taken van het verzamelen en exfiltreren van gegevens. De injectie wordt uitgevoerd via procesuitholling, waarbij delen van het systeemgeheugen niet in kaart worden gebracht, waarbij die ruimte vervolgens opnieuw wordt toegewezen met kwaadaardige code.
Er zijn nog andere verbeteringen waargenomen in het uitvoeringsgedrag van de malware. Nadat de code is gelanceerd, verzamelt de malware lokale systeeminformatie, installeert een keylogger en initialiseert vervolgens routines om gegevens te ontdekken en te verzamelen. Tijdens dit proces scant de malware op draadloze netwerkinstellingen en inloggegevens.
Hoewel Agent Tesla al enkele jaren bestaat, ontwikkelen aanvallers voortdurend nieuwe manieren om er gebruik van te maken, waarbij de anonimiteit behouden blijft en detectie wordt vermeden.