Тројанци за даљински приступ расту последњих година и постали су чешћи чак и од неких од најчешћих врста малвера на свету. Конкретно, од избијања ЦОВИД-19, тројанац Агент Тесла за даљински приступ (РАТ) је успешно искористио страхове од пандемије и додао неколико нових функција. Агент Тесла је први пут стигао на сцену пре девет година и био је представљен у више напада у првој половини 2020. него веома популарним малвер претњама ТрицкБот или Емотет, посебно против предузећа.
Агент Тесла је специјализован за кеилоггинг и крађу података. Његови нови бинарни фајлови нуде робусније методе ширења и убризгавања и способни су да украду детаље и акредитиве бежичне мреже. Агент Тесла такође може прикупити конфигурационе податке и акредитиве са неколико уобичајених ВПН клијената, ФТП и емаил клијената и веб претраживача, укључујући Аппле Сафари, Гоогле Цхроме, Едге, Мозилла Фирефок, Мозилла Тхундербирд, ОпенВПН, Опера Маил и многи други.
Још једна нова карактеристика овог старијег Тројанца за даљински приступ је да варијанте сада могу да преузимају секундарне извршне датотеке да би се инсталирале на машину жртве и да би потом убациле код у те бинарне датотеке друге фазе као метод за откривање избегавања.
У једној кампањи, истраживачи су приметили да агент Тесла испушта копију РегАсм.еке и убацује додатни код у њу; стога је РегАсм.еке обављао главне послове прикупљања и ексфилтрације података. Ињекција се врши кроз процес удубљења, у коме се делови системске меморије не мапирају са тим простором, а затим се поново додељују злонамерним кодом.
Уочена су и друга побољшања у понашању при извршавању малвера. Након што се код покрене, малвер прикупља информације о локалном систему, инсталира кеилоггер, а затим иницијализује рутине за откривање и прикупљање података. Током овог процеса, злонамерни софтвер скенира подешавања бежичне мреже и акредитиве.
Иако Агент Тесла постоји већ неколико година, нападачи непрестано развијају нове начине да га искористе уз задржавање анонимности и избегавање откривања.