近年來,遠端存取木馬數量激增,甚至比世界上一些最常見的惡意軟體病毒更為常見。 特別是,自 COVID-19 爆發以來,Agent Tesla 遠端存取木馬 (RAT) 成功利用了對流行病的恐懼,並添加了一些新功能。 Tesla 特工九年前首次出現,在 2020 年上半年遭受的攻擊比非常流行的惡意軟體威脅 TrickBot 或 Emotet 還要多,特別是針對企業的攻擊。
特斯拉特工專門從事鍵盤記錄和資料竊取。 它的新二進位提供了更強大的傳播和注入方法,並且能夠竊取無線網路詳細資訊和憑證。 Agent Tesla 還可以從多個常見 VPN 用戶端、FTP 和電子郵件用戶端以及 Web 瀏覽器取得設定資料和憑證,包括 Apple Safari、Google Chrome、Edge、Mozilla Firefox、Mozilla Thunderbird、OpenVPN、Opera Mail 和許多其他。
這種較舊的遠端存取木馬的另一個新功能是,變種現在可以獲得輔助可執行檔以安裝到受害者的電腦上,然後將程式碼注入到這些第二階段二進位檔案中作為逃避偵測方法。
在一次活動中,研究人員觀察到 Agent Tesla 丟棄了 RegAsm.exe 的副本,並向其中註入了額外的程式碼; 因此,RegAsm.exe 處理了資料收集和滲透的主要工作。 注入是透過進程空洞來執行的,其中系統記憶體的部分與該空間取消映射,然後用惡意程式碼重新分配。
在惡意軟體的執行行為中也觀察到了其他改進。 程式碼啟動後,惡意軟體會收集本機系統信息,安裝鍵盤記錄器,然後初始化例程以發現和收集資料。 在此過程中,惡意軟體會掃描無線網路設定和憑證。
儘管 Agent Tesla 已經存在多年,但攻擊者仍在不斷開發利用它的新方法,同時保持匿名並避免被發現。