Trojanët me qasje në distancë po rriten vitet e fundit dhe janë bërë më të zakonshëm se edhe disa nga llojet më të zakonshme të malware në botë. Në veçanti, që nga shpërthimi i COVID-19, trojani i qasjes në distancë Agent Tesla (RAT) ka shfrytëzuar me sukses frikën e pandemisë dhe ka shtuar disa veçori të reja. Agjenti Tesla mbërriti për herë të parë në skenë nëntë vjet më parë dhe u shfaq në më shumë sulme në gjysmën e parë të 2020 sesa kërcënimet shumë të njohura të malware TrickBot ose Emotet, veçanërisht kundër bizneseve.
Agjenti Tesla është i specializuar në regjistrimin e çelësave dhe vjedhjen e të dhënave. Binarët e rinj ofrojnë metoda më të fuqishme përhapjeje dhe injeksioni dhe janë në gjendje të vjedhin detajet dhe kredencialet e rrjetit pa tel. Agjenti Tesla gjithashtu mund të mbledhë të dhënat e konfigurimit dhe kredencialet nga disa klientë të zakonshëm VPN, klientë FTP dhe email dhe shfletues uebi, duke përfshirë Apple Safari, Google Chrome, Edge, Mozilla Firefox, Mozilla Thunderbird, OpenVPN, Opera Mail dhe shumë të tjerë.
Një veçori tjetër e re e këtij Trojan të vjetër të qasjes në distancë është se variantet tani mund të marrin ekzekutues dytësorë për t'u instaluar në makinën e viktimës dhe më pas të injektojnë kodin në ato binare të fazës së dytë si një metodë evazioni.
Në një fushatë, studiuesit vëzhguan agjentin Tesla duke hedhur një kopje të RegAsm.exe dhe duke injektuar kod shtesë në të; prandaj, RegAsm.exe trajtoi punët kryesore të mbledhjes dhe ekfiltrimit të të dhënave. Injeksioni kryhet nëpërmjet zbrazjes së procesit, në të cilin seksionet e kujtesës së sistemit janë të pahartuara me atë hapësirë dhe më pas rialokohen me kod me qëllim të keq.
Përmirësime të tjera janë vërejtur në sjelljen e ekzekutimit të malware. Pasi të lëshohet kodi, malware mbledh informacione të sistemit lokal, instalon një keylogger dhe më pas inicializon rutinat për të zbuluar dhe mbledhur të dhënat. Gjatë këtij procesi, malware skanon për cilësimet dhe kredencialet e rrjetit me valë.
Edhe pse Agjenti Tesla ka ekzistuar prej disa vitesh tashmë, sulmuesit po zhvillojnë vazhdimisht mënyra të reja për ta përdorur atë duke ruajtur anonimitetin dhe duke shmangur zbulimin.