В последние годы количество троянских программ удаленного доступа растет, и они стали более распространенными, чем даже некоторые из наиболее распространенных в мире штаммов вредоносных программ. В частности, после вспышки COVID-19 троян удаленного доступа (RAT) Agent Tesla успешно использовал страхи перед пандемией и добавил несколько новых функций. Агент Тесла впервые появился на сцене девять лет назад и в первой половине 2020 года участвовал в большем количестве атак, чем очень популярные вредоносные угрозы TrickBot или Emotet, особенно против предприятий.
Агент Тесла специализируется на кейлоггерах и краже данных. Его новые двоичные файлы предлагают более надежные методы распространения и внедрения и способны красть данные и учетные данные беспроводной сети. Агент Tesla также может собирать данные конфигурации и учетные данные из нескольких распространенных VPN-клиентов, FTP-клиентов, клиентов электронной почты и веб-браузеров, в том числе Apple Safari, Google Chrome, Edge, Mozilla Firefox, Mozilla Thunderbird, OpenVPN, Opera Mail и многие другие.
Еще одна новая особенность этого старого трояна удаленного доступа заключается в том, что его варианты теперь могут извлекать вторичные исполняемые файлы для установки на компьютер жертвы и впоследствии внедрять код в эти двоичные файлы второго этапа в качестве метода обнаружения уклонения.
В ходе одной из кампаний исследователи наблюдали, как агент Тесла сбросил копию RegAsm.exe и внедрил в нее дополнительный код; поэтому RegAsm.exe выполнял основные задачи по сбору и краже данных. Внедрение осуществляется посредством очистки процесса, при которой разделы системной памяти не сопоставляются с этим пространством, а затем перераспределяются с помощью вредоносного кода.
Другие улучшения наблюдались в поведении выполнения вредоносного ПО. После запуска кода вредоносная программа собирает информацию о локальной системе, устанавливает кейлоггер, а затем инициализирует процедуры для обнаружения и сбора данных. Во время этого процесса вредоносное ПО сканирует настройки и учетные данные беспроводной сети.
Хотя агент Тесла существует уже несколько лет, злоумышленники постоянно разрабатывают новые способы его использования, сохраняя при этом анонимность и избегая обнаружения.