A Check Point Research descobriu um serviço de software que tem ajudado os hackers a contornar a proteção EDR (Endpoint Detection & Response) por mais de seis anos. O serviço de software serve como um abridor de portas para Emotet, REvil, Maze e outros malwares.
Os beneficiários do serviço TrickGate incluem malware bem conhecido, como Cerber, Trickbot, Maze, Emotet, REvil, Cobalt Strike, AZORult, Formbook, AgentTesla - um desfile colorido dos principais malwares que a Check Point lança mensalmente.
O serviço antigo prejudica o EDR
O TrickGate é transformador e muda regularmente, o que ajudou a mantê-lo desconhecido por anos. Ao usar o TrickGate, os agentes mal-intencionados podem proliferar seu malware com mais facilidade e com menos consequências para si mesmos.
O TrickGate conseguiu passar despercebido por anos porque muda regularmente. Embora o wrapper do empacotador que comprime os dados tenha mudado com o tempo, os principais blocos de construção do código shell do TrickGate ainda são usados.
Vítimas de fabricação
De acordo com os dados de telemetria, os hackers que usam o TrickGate visam principalmente a manufatura, mas também visam instituições educacionais, de saúde, financeiras e comerciais. Os ataques estão espalhados por todo o mundo, com maior concentração em Taiwan e na Turquia.
🔎Fluxo de ataque TrickGate (Imagem: Check Point).
A criptografia do programa malicioso torna a detecção mais difícil
Existem muitas formas de fluxo de ataque. O shellcode é o núcleo do empacotador TrickGate. Ele é responsável por decifrar as instruções e códigos maliciosos e injetá-los secretamente em novos processos. O programa malicioso é criptografado e empacotado com uma rotina especial que pode ser usada para contornar o sistema protegido, e é por isso que as soluções de segurança não podem detectar a carga estaticamente ou em tempo de execução.
Quem está por trás do TrickGate?
A Check Point Research não foi capaz de determinar uma afiliação clara. Com base nos clientes que atendem, os pesquisadores de segurança supõem que seja uma gangue clandestina de língua russa.
Mais em CheckPoint.com
Sobre o ponto de verificação A Check Point Software Technologies GmbH (www.checkpoint.com/de) é um fornecedor líder de soluções de segurança cibernética para administrações públicas e empresas em todo o mundo. As soluções protegem os clientes contra ataques cibernéticos com uma taxa de detecção líder do setor de malware, ransomware e outros tipos de ataques. A Check Point oferece uma arquitetura de segurança multicamada que protege as informações corporativas em nuvem, rede e dispositivos móveis, e o sistema de gerenciamento de segurança "um ponto de controle" mais abrangente e intuitivo. A Check Point protege mais de 100.000 empresas de todos os portes.