Pesquisar
Close this search box.

Serviço TrickGate é usado para implantar Emotet, REvil, Maze, entre outras ameaças

A Check Point Research detectou um serviço de software ao vivo que tem ajudado a ignorar a proteção de EDRs; chamado de "TrickGate", o serviço tem clientes conhecidos como Cerber, Trickbot, Maze, Emotet, REvil, Cobalt Strike, AZORult, Formbook, AgentTesla e muito mais

A Check Point (CPR), divisão de Inteligência em Ameaças da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, detectou um serviço de software ao vivo por meio do qual os cibercriminosos conseguem contornar a proteção de “EDRs” (Detecção e Resposta de Endpoint) e que tem sido usado por mais de seis anos.

Você também pode gostar:
Minecraft: Tudo sobre um dos Jogos mais Famosos do Mundo
TODOS os Comandos para Minecraft e como Executá-los
Saiba como Baixar e Instalar o Minecraft no seu PC, MAC e Mobile
Mods OBRIGATÓRIOS para Todos Jogadores de Minecraft
Maono DM30: A Escolha Perfeita Para Podcasters E Streamers
5 Melhores Microfones Para Podcast, Gamer, Streaming E Youtube Até R$ 400

Os clientes do serviço, denominado TrickGate, incluem atores de ameaças conhecidos como Cerber, Trickbot, Maze, Emotet, REvil, Cobalt Strike, AZORult, Formbook, AgentTesla, entre outros. A CPR documentou centenas de ataques por semana apenas nos últimos dois anos:

● 40 a 650 ataques por semana nos últimos dois anos;

● Os setores-alvo incluem manufatura, educação, saúde, finanças e empresas;

● A família de malware mais popular usada nos últimos dois meses é o Formbook, marcando 42% do total de distribuição rastreada.

O serviço é transformador e muda regularmente, o que o ajudou a passar despercebido por muito tempo. Embora o invólucro do empacotador tenha mudado com o tempo, os principais blocos de construção do shellcode do TrickGate ainda estão em uso hoje. Ao usar o serviço, os cibercriminosos podem espalhar seu malware mais facilmente com menos repercussões.

Trickgate | ameaça, check point research, hacker, internet, malware, pc | serviço trickgate é usado para implantar emotet, revil, maze, entre outras ameaças | 6a315bf1 image | notícias
Figura 1. Linha do tempo do TrickGate:

Vítimas do TrickGate

A CPR monitorou entre 40 e 650 ataques por semana durante os últimos dois anos. De acordo com sua telemetria, os atacantes que usam o TrickGate visam principalmente o setor de manufatura, mas também atacam instalações dos setores da educação, saúde, de finanças e empresas em geral.

Os ataques estão distribuídos por todo o mundo, com maior concentração em Taiwan e na Turquia. A família de malware mais popular usada nos últimos dois meses é o Formbook, marcando 42% da distribuição rastreada total.

Fluxo de ataque

Existem muitas formas de fluxo de ataque. O shellcode é o núcleo do empacotador TrickGate. Ele é responsável por descriptografar as instruções e códigos nocivos e injetá-los de modo oculto em novos processos.

O programa malicioso é criptografado e, em seguida, embalado com uma rotina especial projetada para contornar o sistema protegido, de modo que muitos não conseguem detectar a carga estaticamente e em tempo de execução.

Trickgate | ameaça, check point research, hacker, internet, malware, pc | serviço trickgate é usado para implantar emotet, revil, maze, entre outras ameaças | 32daaa09 image | notícias
Figura 2. Fluxo de ataque do TrickGate:

Atribuição

A CPR não conseguiu uma filiação clara do TrickGate; os pesquisadores assumem, com base nos clientes atendidos, que é uma gangue clandestina de língua russa.

“O TrickGate é um mestre dos disfarces. Esse serviço recebeu muitos nomes com base em seus atributos variados, incluindo “emotet’s packer”, “new loader”, “Loncom”, “criptador baseado em NSIS” e muito mais. Conectamos os pontos de pesquisas anteriores e apontamos com alta confiança para uma única operação que parece ser oferecida como um serviço.

O fato de muitos dos maiores atacantes nos últimos anos terem escolhido o TrickGate como uma ferramenta para superar os sistemas defensivos é notável. Simplificando, o TrickGate tem técnicas incríveis de mascaramento e evasão. Monitoramos a aparência do TrickGate escrito utilizando diferentes tipos tanto de linguagem de código e também de arquivo. Mas, o fluxo do núcleo permaneceu relativamente estável. As mesmas técnicas usadas há seis anos ainda estão em uso hoje”, explica Ziv Huyan, gerente do grupo de proteção e pesquisa de malware da Check Point Software.

No site da Check Point (CPR) é possível obter detalhes mais técnicos da análise e do acompanhamento feitos pelos pesquisadores sobre o TrickGate.

Sobre a Check Point Research

A Check Point fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças. A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções. A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.

Fale conosco nos comentários e diga se curtiu essa novidade e aproveite para ler mais notícias, sobre como os teclados HyperX Alloy Origins, no nosso site.

Veja o que achamos de Horizon Forbidden West no PC
Procurando um Cursos para Jogos 2D? Então veja qual escolher
Saiba mais sobre o Desenvolvendo Jogos em Unity com nossas dicas e truques
Veja quais o melhor Curso de Nuxt que você pode fazer para dominar o framework
Aprenda sobre o desenvolvimento de jogos em HTML 5
Saiba como escolher os melhores e comece seu curso de Vue Js hoje mesmo