Os Trojans de acesso remoto estão surgindo nos últimos anos e se tornaram mais comuns do que algumas das variedades de malware mais comuns do mundo. Em particular, desde o surto de COVID-19, o trojan de acesso remoto (RAT) do Agente Tesla explorou com sucesso os receios pandémicos e adicionou vários novos recursos. O agente Tesla entrou em cena pela primeira vez há nove anos e foi destaque em mais ataques no primeiro semestre de 2020 do que as ameaças de malware muito populares TrickBot ou Emotet, especialmente contra empresas.
O Agente Tesla é especializado em keylogging e roubo de dados. Seus novos binários oferecem métodos de distribuição e injeção mais robustos e são capazes de roubar detalhes e credenciais de redes sem fio. O Agente Tesla também pode coletar dados de configuração e credenciais de vários clientes VPN comuns, clientes de FTP e e-mail e navegadores da web, incluindo Apple Safari, Google Chrome, Edge, Mozilla Firefox, Mozilla Thunderbird, OpenVPN, Opera Mail e muitos outros.
Outro novo recurso desse Trojan de acesso remoto mais antigo é que as variantes agora podem buscar executáveis secundários para instalar na máquina da vítima e, posteriormente, injetar código nesses binários de segundo estágio como um método de detecção de evasão.
Em uma campanha, os pesquisadores observaram o Agente Tesla descartando uma cópia do RegAsm.exe e injetando código adicional nela; portanto, RegAsm.exe executou as principais tarefas de coleta e exfiltração de dados. A injeção é realizada por meio de esvaziamento de processo, no qual seções da memória do sistema são desmapeadas com esse espaço e então realocadas com código malicioso.
Outras melhorias foram observadas no comportamento de execução do malware. Depois que o código é iniciado, o malware coleta informações locais do sistema, instala um keylogger e, em seguida, inicializa rotinas para descobrir e coletar dados. Durante esse processo, o malware verifica configurações e credenciais de rede sem fio.
Embora o Agente Tesla já exista há vários anos, os invasores estão continuamente desenvolvendo novas maneiras de utilizá-lo, mantendo o anonimato e evitando a detecção.