Hackers usam o TrickGate para implantar Emotet, REvil e outros

Serviço de software malicioso foi usado por operadores de ameaças para contornar sistemas de proteção de detecção e resposta de endpoint por mais de seis anos
Da Redação
02/02/2023

Um serviço de software malicioso chamado TrickGate foi usado por operadores de ameaças para contornar sistemas de proteção de detecção e resposta de endpoint (EDR) por mais de seis anos. A descoberta é da Check Point Research (CPR), descrita em um novo relatório, o qual também sugere que vários grupos de hackers como Emotet, REvil, Maze e outros exploraram o serviço para implantar malware.

A CPR estima que, ao longo dos dois últimos anos, os operadores de ameaças conduziram entre 40 e 650 ataques por semana usando o TrickGate. As vítimas foram principalmente do setor manufatureiro, mas também das áreas de educação, saúde, finanças e negócios.

“Os ataques são distribuídos por todo o mundo, com maior concentração em Taiwan e na Turquia”, escreveu CPR. “A família de malware mais popular usada nos últimos dois meses é o Formbook, marcando 42% da distribuição total rastreada.”

De acordo com o CPR, o TrickGate conseguiu ficar fora do radar por anos devido à sua capacidade de sofrer mudanças periódicas. “Embora o invólucro do empacotador tenha mudado ao longo do tempo, os principais blocos de construção dentro do shellcode TrickGate ainda estão em uso hoje”, diz o comunicado.

Veja isso
Emotet se recicla e ganha módulo de roubo de cartão de crédito
Ransom Cartel é vinculado ao grupo REvil com sede na Rússia

Do ponto de vista técnico, o pesquisador de segurança da CPR Arie Olshtein escreveu que o programa malicioso é criptografado e depois empacotado com uma rotina especial, que por sua vez é projetada para contornar o sistema protegido para impedir que os sistemas detectem a carga estaticamente e em tempo de execução.

Além disso, o gerente do grupo de proteção e pesquisa de malware da CPR, Ziv Huyan, conta que a equipe conseguiu conectar os pontos da pesquisa anterior e apontar para uma única operação que parecia ser oferecida como um serviço. “O fato de muitos dos maiores operadores de ameaças nos últimos anos terem escolhido o TrickGate como uma ferramenta para superar os sistemas defensivos é notável”, explicou.

“Monitoramos a aparência do TrickGate, escrito utilizando diferentes tipos de linguagem de código e diferentes tipos de arquivo. Mas o fluxo do núcleo permaneceu relativamente estável. As mesmas técnicas usadas seis anos atrás ainda estão em uso hoje”, completou Huyan.Outro malware projetado para evitar a detecção é o SparkRAT, que foi recentemente implantado pelo grupo DragonSpark para atingir organizações do Leste Asiático.

Compartilhar:

Últimas Notícias