Troienii de acces la distanță au crescut în ultimii ani și au devenit mai răspândiți chiar și decât unele dintre cele mai comune tulpini de malware din lume. În special, de la izbucnirea COVID-19, agentul troian de acces la distanță (RAT) Agent Tesla a exploatat cu succes temerile de pandemie și a adăugat câteva funcții noi. Agentul Tesla a ajuns pentru prima dată pe scena în urmă cu nouă ani și a fost prezentat în mai multe atacuri în prima jumătate a anului 2020 decât amenințările malware foarte populare TrickBot sau Emotet, în special împotriva companiilor.
Agentul Tesla este specializat în înregistrarea tastelor și furtul de date. Noile sale binare oferă metode mai robuste de răspândire și injecție și sunt capabile să fure detaliile și acreditările rețelei wireless. Agentul Tesla poate colecta, de asemenea, date de configurare și acreditări de la mai mulți clienți VPN obișnuiți, clienți FTP și de e-mail și browsere web, inclusiv Apple Safari, Google Chrome, Edge, Mozilla Firefox, Mozilla Thunderbird, OpenVPN, Opera Mail și multe altele.
O altă caracteristică nouă a acestui troian de acces la distanță mai vechi este că variantele pot prelua acum executabile secundare pentru a fi instalate pe computerul unei victime și, ulterior, pot injecta cod în acele binare din a doua etapă ca metodă de detectare a evaziunii.
Într-o campanie, cercetătorii au observat că agentul Tesla scăpa o copie a RegAsm.exe și injecta cod suplimentar în ea; prin urmare, RegAsm.exe s-a ocupat de principalele sarcini de recoltare și exfiltrare a datelor. Injecția se realizează prin golirea procesului, în care secțiunile memoriei sistemului sunt dezapatate cu acel spațiu, apoi sunt realocate cu cod rău intenționat.
Au fost observate și alte îmbunătățiri în comportamentul de execuție al malware-ului. După lansarea codului, malware-ul colectează informații de sistem local, instalează un keylogger și apoi inițializează rutine pentru a descoperi și colecta date. În timpul acestui proces, malware-ul scanează pentru setări și acreditări ale rețelei wireless.
Deși agentul Tesla există de câțiva ani, atacatorii dezvoltă continuu noi modalități de a-l utiliza, păstrând în același timp anonimatul și evitând detectarea.