Check Point Research ha descubierto un servicio de software que ha estado ayudando a los piratas informáticos a eludir la protección EDR (Detección y respuesta de punto final) durante más de seis años. El servicio de software sirve como puerta de entrada para Emotet, REvil, Maze y otros programas maliciosos.
Los beneficiarios del servicio TrickGate incluyen malware conocido como Cerber, Trickbot, Maze, Emotet, REvil, Cobalt Strike, AZORult, Formbook, AgentTesla: un colorido desfile de los principales programas maliciosos que Check Point lanza mensualmente.
El antiguo servicio socava EDR
TrickGate es transformador y cambia regularmente, lo que ayudó a que no se descubriera durante años. Al usar TrickGate, los actores maliciosos pueden propagar su malware más fácilmente y con menos consecuencias para ellos.
TrickGate ha logrado pasar desapercibido durante años porque cambia regularmente. Si bien el envoltorio del empaquetador que comprime los datos cambió con el tiempo, los principales componentes básicos del código de shell de TrickGate todavía se usan.
Víctimas de fabricación
Según los datos de telemetría, los piratas informáticos que utilizan TrickGate se dirigen principalmente a la fabricación, pero también a las instituciones educativas, sanitarias, financieras y comerciales. Los ataques se extienden por todo el mundo, con una mayor concentración en Taiwán y Turquía.
🔎 Flujo de ataque TrickGate (Imagen: Check Point).
El cifrado del programa malicioso dificulta la detección
Hay muchas formas de flujo de ataque. El shellcode es el núcleo del empaquetador TrickGate. Es responsable de descifrar las instrucciones y el código malicioso e inyectarlo en secreto en nuevos procesos. El programa malicioso se cifra y luego se empaqueta con una rutina especial que se puede usar para eludir el sistema protegido, razón por la cual las soluciones de seguridad no pueden detectar la carga útil ni de forma estática ni en tiempo de ejecución.
¿Quién está detrás de TrickGate?
Check Point Research no ha podido determinar una afiliación clara. Según los clientes a los que atienden, los investigadores de seguridad suponen que se trata de una pandilla clandestina de habla rusa.
Más en CheckPoint.com
Sobre el punto de control Check Point Software Technologies GmbH (www.checkpoint.com/de) es un proveedor líder de soluciones de ciberseguridad para administraciones públicas y empresas de todo el mundo. Las soluciones protegen a los clientes de los ataques cibernéticos con una tasa de detección de malware, ransomware y otros tipos de ataques líder en la industria. Check Point ofrece una arquitectura de seguridad de varias capas que protege la información corporativa en la nube, la red y los dispositivos móviles, y el sistema de administración de seguridad de "un punto de control" más completo e intuitivo. Check Point protege a más de 100.000 XNUMX empresas de todos los tamaños.