Serviço de software é usado por seis anos para implantar Emotet, REvil, Maze e outras ameaças

A Check Point Research detectou um serviço de software ao vivo que tem ajudado a ignorar a proteção de EDRs; chamado de “TrickGate”, o serviço tem clientes conhecidos como Cerber, Trickbot, Maze, Emotet, REvil, Cobalt Strike, AZORult, Formbook e AgentTesla

Compartilhar:

A Check Point Research (CPR) detectou um serviço de software ao vivo por meio do qual os cibercriminosos conseguem contornar a proteção de “EDRs” (Detecção e Resposta de Endpoint) e que tem sido usado por mais de seis anos. Os clientes do serviço, denominado TrickGate, incluem atores de ameaças conhecidos como Cerber, Trickbot, Maze, Emotet, REvil, Cobalt Strike, AZORult, Formbook, AgentTesla, entre outros. A CPR documentou centenas de ataques por semana apenas nos últimos dois anos.

 

● 40 a 650 ataques por semana nos últimos dois anos;

● Os setores-alvo incluem manufatura, educação, saúde, finanças e empresas;

● A família de malware mais popular usada nos últimos dois meses é o Formbook, marcando 42% do total de distribuição rastreada.

 

O TrickGate é transformador e muda regularmente, o que o ajudou a passar despercebido por muito tempo. Embora o invólucro do empacotador tenha mudado com o tempo, os principais blocos de construção do shellcode do TrickGate ainda estão em uso hoje. Ao usar o TrickGate, os cibercriminosos podem espalhar seu malware mais facilmente com menos repercussões.

 

Vítimas

A CPR monitorou entre 40 e 650 ataques por semana durante os últimos dois anos. De acordo com sua telemetria, os atacantes que usam o TrickGate visam principalmente o setor de manufatura, mas também atacam instalações dos setores da educação, saúde, de finanças e empresas em geral.

 

Os ataques estão distribuídos por todo o mundo, com maior concentração em Taiwan e na Turquia. A família de malware mais popular usada nos últimos dois meses é o Formbook, marcando 42% da distribuição rastreada total.

 

Fluxo de ataque

Existem muitas formas de fluxo de ataque. O shellcode é o núcleo do empacotador TrickGate. Ele é responsável por descriptografar as instruções e códigos nocivos e injetá-los de modo oculto em novos processos.

 

O programa malicioso é criptografado e, em seguida, embalado com uma rotina especial projetada para contornar o sistema protegido, de modo que muitos não conseguem detectar a carga estaticamente e em tempo de execução.

 

Atribuição

 A CPR não conseguiu uma filiação clara do TrickGate; os pesquisadores assumem, com base nos clientes atendidos, que é uma gangue clandestina de língua russa.

 

“O TrickGate é um mestre dos disfarces. Esse serviço recebeu muitos nomes com base em seus atributos variados, incluindo “emotet’s packer”, “new loader”, “Loncom”, “criptador baseado em NSIS” e muito mais. Conectamos os pontos de pesquisas anteriores e apontamos com alta confiança para uma única operação que parece ser oferecida como um serviço. O fato de muitos dos maiores atacantes nos últimos anos terem escolhido o TrickGate como uma ferramenta para superar os sistemas defensivos é notável. Simplificando, o TrickGate tem técnicas incríveis de mascaramento e evasão. Monitoramos a aparência do TrickGate escrito utilizando diferentes tipos tanto de linguagem de código e de arquivo. Mas, o fluxo do núcleo permaneceu relativamente estável. As mesmas técnicas usadas há seis anos ainda estão em uso hoje”, explica Ziv Huyan, gerente do grupo de proteção e pesquisa de malware da Check Point Software.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

51% dos ataques de ransomware ao setor de saúde na América Latina ocorreram no Brasil

Relatório da Elytron aponta que o setor virou alvo prioritário de extorsão por roubo de dados sensíveis antes da criptografia,...
Security Report | Overview

Guardião Cibernético 2026 ocorrerá em sete capitais do Brasil

Com sede principal em Brasília, a operação de defesa cibernética nacional terá Recife como polo estratégico no Nordeste, impulsionado pelo...
Security Report | Overview

Ataques cibernéticos ameaçam paralisação dos negócios e continuidade das PMEs

Com operações cada vez mais digitais, pequenas e médias empresas buscam estratégias de gestão de riscos para mitigar os severos...
Security Report | Overview

Férias de inverno aumentam risco de golpes digitais potencializados por IA 

Sites falsos, hospedagens inexistentes e promoções irresistíveis estão entre as fraudes mais comuns da temporada. Especialista do Cesuca explica como...