Trójske kone so vzdialeným prístupom v posledných rokoch narastajú a stali sa bežnejšími ako niektoré z najbežnejších druhov malvéru na svete. Najmä od vypuknutia COVID-19 trojan s diaľkovým prístupom Agent Tesla (RAT) úspešne využil obavy z pandémie a pridal niekoľko nových funkcií. Agent Tesla prvýkrát prišiel na scénu pred deviatimi rokmi a v prvej polovici roku 2020 sa objavil vo väčšom počte útokov ako veľmi populárne malvérové hrozby TrickBot alebo Emotet, najmä proti podnikom.
Agent Tesla sa špecializuje na keylogging a kradnutie dát. Jeho nové binárne súbory ponúkajú robustnejšie metódy šírenia a vstrekovania a sú schopné ukradnúť podrobnosti o bezdrôtovej sieti a poverenia. Agent Tesla môže tiež zbierať konfiguračné údaje a poverenia z niekoľkých bežných klientov VPN, FTP a e-mailových klientov a webových prehliadačov, vrátane Apple Safari, Google Chrome, Edge, Mozilla Firefox, Mozilla Thunderbird, OpenVPN, Opera Mail a mnoho ďalších.
Ďalšou novou funkciou tohto staršieho trójskeho koňa so vzdialeným prístupom je, že varianty teraz dokážu načítať sekundárne spustiteľné súbory na inštaláciu do počítača obete a následne vložiť kód do týchto binárnych súborov druhej fázy ako metódu detekcie úniku.
V jednej kampani výskumníci pozorovali, ako agent Tesla vypustil kópiu RegAsm.exe a vložil do nej dodatočný kód; preto RegAsm.exe riešil hlavné úlohy zberu dát a exfiltrácie. Injekcia sa vykonáva prostredníctvom procesu dutého, v ktorom sú časti systémovej pamäte nezmapované s týmto priestorom a potom sú prerozdelené so škodlivým kódom.
Ďalšie vylepšenia boli pozorované pri vykonávaní malvéru. Po spustení kódu malvér zhromažďuje informácie o lokálnom systéme, nainštaluje keylogger a potom inicializuje rutiny na zisťovanie a zber údajov. Počas tohto procesu malvér vyhľadá nastavenia a poverenia bezdrôtovej siete.
Hoci agent Tesla existuje už niekoľko rokov, útočníci neustále vyvíjajú nové spôsoby, ako ho využiť, pričom si zachovávajú anonymitu a vyhýbajú sa odhaleniu.