近年来,远程访问木马数量激增,甚至比世界上一些最常见的恶意软件病毒更为常见。 特别是,自 COVID-19 爆发以来,Agent Tesla 远程访问木马 (RAT) 成功利用了对流行病的恐惧,并添加了一些新功能。 Tesla 特工九年前首次出现,在 2020 年上半年遭受的攻击比非常流行的恶意软件威胁 TrickBot 或 Emotet 还要多,特别是针对企业的攻击。
特斯拉特工专门从事键盘记录和数据窃取。 它的新二进制文件提供了更强大的传播和注入方法,并且能够窃取无线网络详细信息和凭据。 Agent Tesla 还可以从多个常见 VPN 客户端、FTP 和电子邮件客户端以及 Web 浏览器获取配置数据和凭据,包括 Apple Safari、Google Chrome、Edge、Mozilla Firefox、Mozilla Thunderbird、OpenVPN、Opera Mail 和其他许多人。
这种较旧的远程访问木马的另一个新功能是,变种现在可以获取辅助可执行文件以安装到受害者的计算机上,然后将代码注入到这些第二阶段二进制文件中作为逃避检测方法。
在一次活动中,研究人员观察到 Agent Tesla 丢弃了 RegAsm.exe 的副本,并向其中注入了额外的代码; 因此,RegAsm.exe 处理了数据收集和渗透的主要工作。 注入是通过进程空洞来执行的,其中系统内存的部分与该空间取消映射,然后用恶意代码重新分配。
在恶意软件的执行行为中还观察到了其他改进。 代码启动后,恶意软件会收集本地系统信息,安装键盘记录器,然后初始化例程以发现和收集数据。 在此过程中,恶意软件会扫描无线网络设置和凭据。
尽管 Agent Tesla 已经存在多年,但攻击者仍在不断开发利用它的新方法,同时保持匿名并避免被发现。