Fjärråtkomsttrojaner ökar kraftigt de senaste åren och har blivit vanligare än till och med några av världens vanligaste skadliga stammar. I synnerhet sedan covid-19-utbrottet har Agent Tesla-trojanen med fjärråtkomst (RAT) framgångsrikt utnyttjat pandemisk rädsla och lagt till flera nya funktioner. Agenten Tesla kom först till platsen för nio år sedan och var med i fler attacker under första halvåret 2020 än de mycket populära skadliga hoten TrickBot eller Emotet, särskilt mot företag.
Agent Tesla är specialiserad på nyckelloggning och datastöld. Dess nya binärer erbjuder mer robusta spridnings- och injektionsmetoder och kan stjäla trådlösa nätverksdetaljer och referenser. Agent Tesla kan också samla in konfigurationsdata och referenser från flera vanliga VPN-klienter, FTP- och e-postklienter och webbläsare, inklusive Apple Safari, Google Chrome, Edge, Mozilla Firefox, Mozilla Thunderbird, OpenVPN, Opera Mail och många andra.
En annan nyhet i den här äldre fjärråtkomsttrojanen är att varianter nu kan hämta sekundära körbara filer för att installeras på ett offers dator och därefter injicera kod i dessa binära filer i andra steget som en undanflyktsdetekteringsmetod.
I en kampanj observerade forskare att agent Tesla släppte en kopia av RegAsm.exe och injicerade ytterligare kod i den; Därför skötte RegAsm.exe huvudjobben med datainsamling och exfiltrering. Injektionen utförs via process ihålning, där delar av systemminnet är omappade med det utrymmet som sedan omfördelas med skadlig kod.
Andra förbättringar har observerats i skadlig programvaras exekveringsbeteende. Efter att koden har lanserats samlar den skadliga programvaran in lokal systeminformation, installerar en keylogger och initierar sedan rutiner för att upptäcka och skörda data. Under denna process söker den skadliga programvaran efter trådlösa nätverksinställningar och autentiseringsuppgifter.
Även om Agent Tesla har funnits i flera år nu, utvecklar angripare ständigt nya sätt att använda den samtidigt som de behåller anonymiteten och undviker upptäckt.