Scoperto TrickGate: un servizio per diffondere malware attivo da sei anni

Check Point Research (CPR), la divisione Threat Intelligence di Check Point Software, ha individuato un servizio software che da oltre sei anni permette agli aggressori di aggirare i sistemi EDR (Endpoint Detection & Response) e diffondere più facilmente il malware. 

 

CPR ha documentato centinaia di attacchi a settimana nei soli ultimi due anni. TrickGate si trasforma regolarmente, il che gli ha permesso di passare inosservato per anni.

Da più di sei anni, Trickgate aiuta gli aggressori a evitare la protezione offerta dagli EDR. Dal 2016, è riuscito a rimanere sottotraccia grazie alla sua proprietà mutevole che gli permette di cambiare periodicamente. 

 

Anche se il codice wrapper è cambiato nel tempo, i principali elementi costitutivi dello shellcode di TrickGate sono ancora in uso tutt’oggi. Il servizio ha tra i suoi “clienti noti” attori delle minacce come: Cerber, Trickbot, Maze, Emotet, REvil, Cobalt Strike, AZORult, Formbook, AgentTesla e altri ancora.

Ziv Huyan, Malware Research and Protection Group Manager di Check Point Software ha dichiarato:“TrickGate è un esperto nel camuffarsi. Gli sono stati attribuiti differenti nomi in base alle sue diverse caratteristiche, tra cui ‘Packer di Emotet’, ‘New loader’, ‘Loncom’, ‘NSIS-based crypter’ e moltri altri. Analizzando al meglio le precedenti ricerche abbiamo individuato un'unica grande operazione che sembra essere offerta come un vero e proprio servizio".