Scoperto TrickGate: un servizio per diffondere malware attivo da 6 anni

Check Point Research (CPR), la divisione Threat Intelligence di Check Point Software, ha individuato un servizio software che da oltre sei anni permette agli aggressori di aggirare i sistemi EDR (Endpoint Detection & Response) e diffondere più facilmente il malware. CPR ha documentato centinaia di attacchi a settimana nei soli ultimi due anni. TrickGate si trasforma regolarmente, il che gli ha permesso di passare inosservato per anni.

Da più di sei anni, Trickgate aiuta gli aggressori a evitare la protezione offerta dagli EDR. Dal 2016, è riuscito a rimanere sottotraccia grazie alla sua proprietà mutevole che gli permette di cambiare periodicamente. Anche se il codice wrapper è cambiato nel tempo, i principali elementi costitutivi dello shellcode di TrickGate sono ancora in uso tutt’oggi. Il servizio ha tra i suoi “clienti noti” attori delle minacce come: Cerber, Trickbot, Maze, Emotet, REvil, Cobalt Strike, AZORult, Formbook, AgentTesla e altri ancora.

Ziv Huyan, malware research and protection group manager di Check Point Software, ha dichiarato: “TrickGate è un esperto nel camuffarsi. Gli sono stati attribuiti differenti nomi in base alle sue diverse caratteristiche, tra cui ‘Packer di Emotet’, ‘New loader’, ‘Loncom’, ‘NSIS-based crypter’ e moltri altri. Analizzando al meglio le precedenti ricerche abbiamo individuato un’unica grande operazione che sembra essere offerta come un vero e proprio servizio”.