Eksterntilgangstrojanere har økt kraftig de siste årene og har blitt mer vanlig enn til og med noen av verdens mest vanlige skadevarestammer. Spesielt siden COVID-19-utbruddet har Agent Tesla-trojaneren med fjerntilgang (RAT) utnyttet pandemisk frykt og lagt til flere nye funksjoner. Agent Tesla ankom stedet for første gang for ni år siden og ble omtalt i flere angrep i første halvdel av 2020 enn de svært populære malware-truslene TrickBot eller Emotet, spesielt mot bedrifter.
Agent Tesla spesialiserer seg på nøkkellogging og datatyveri. Dens nye binære filer tilbyr mer robuste sprednings- og injeksjonsmetoder og er i stand til å stjele trådløse nettverksdetaljer og legitimasjon. Agent Tesla kan også hente konfigurasjonsdata og legitimasjon fra flere vanlige VPN-klienter, FTP- og e-postklienter og nettlesere, inkludert Apple Safari, Google Chrome, Edge, Mozilla Firefox, Mozilla Thunderbird, OpenVPN, Opera Mail og mange andre.
En annen ny funksjon i denne eldre fjerntilgangstrojaneren er at varianter nå kan hente sekundære kjørbare filer for å installeres på et offers maskin og deretter injisere kode i de andre trinns binære filene som en unnvikelsesdeteksjonsmetode.
I en kampanje observerte forskere at agent Tesla droppet en kopi av RegAsm.exe og injiserte ekstra kode i den; Derfor håndterte RegAsm.exe hovedjobbene med datainnsamling og eksfiltrering. Injeksjonen utføres via prosessuthuling, der deler av systemminnet ikke er kartlagt med den plassen som deretter blir omfordelt med ondsinnet kode.
Andre forbedringer har blitt observert i utførelsesadferden til skadelig programvare. Etter at koden er lansert, samler skadevaren inn lokal systeminformasjon, installerer en keylogger og initialiserer deretter rutiner for å oppdage og høste data. Under denne prosessen skanner skadelig programvare for trådløse nettverksinnstillinger og legitimasjon.
Selv om Agent Tesla har eksistert i flere år nå, utvikler angripere kontinuerlig nye måter å bruke den på, samtidig som de opprettholder anonymitet og unngår oppdagelse.