Serviço de malware manteve-se indetetável nos últimos 6 anos

 Serviço de malware manteve-se indetetável nos últimos 6 anos

Entre 40 e 650 ataques por semana ao longo dos últimos dois anos

Os principais setores alvo incluem a indústria transformadora, educação, Saúde, finanças e empresas

Nos últimos 2 meses o Formbook foi o malware mais utilizado, sendo 42% do total de malware distribuido

Check Point Research, área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, detetou um serviço que tem servido os hackers, ao longo dos últimos 6 anos, a ultrapassar as proteções “EDR” (Endpoint Detection & Response), o serviço denominado, pelos clientes, de TrickGate, inclui vários tipos de malwares, bastante conhecidos, como o Emolet, REvil e muitos mais. A CPR nestes dois últimos anos tem verificado centenas de ataques por semana. O TrickGate é um serviço em constante mudança, permitindo que não fosse possível detetar durante anos. Com o TrickGate os cibercriminosos podem, mais facilmente, difundir os seus malwares com menos repercussões.

A Check Point Research (CPR) detetou um serviço de software online que tem vindo a ajudar os cibercriminosos a contornar a proteção de EDR nos últimos seis anos. Denominado "Trickgate", o serviço tem incluido malwares conhecidos tais como Cerber, Trickbot, Maze, Emotet, REvil, Cobalt Strike, AZORult, Formbook, AgentTesla e muito mais.

O TrickGate conseguiu ficar fora do radar durante anos devido à sua capacidade de sofrer periódicas alterações. Embora a a forma como é apresentado tenha mudado ao longo do tempo, os principais blocos de construção dentro do shellcode do TrickGate continuam a ser utilizados até hoje. 

Figura 1. Linha do tempo do TrickGate

Vítimas

A CPR observou entre 40 a 650 ataques por semana ao longo dos últimos dois anos. De acordo com a sua telemetria, os grupos que utilizam o TrickGate visam principalmente o sector industrial, mas também atacam instituições de educação, saúde, finanças e empresas comerciais.

Os ataques distribuem-se por todo o mundo, com uma maior concentração em Taiwan e na Turquia. A família malware mais popular utilizada nos últimos dois meses é o Formbook, marcando 42% do total da distribuição registada.

Fluxo de Ataque

Há muitas formas de ataque. O shellcode é o núcleo do TrickGate. É responsável por decifrar as instruções e código prejudiciais e injectá-lo furtivamente em novos processos. 

O programa malicioso é encriptado e depois embalado com procedimentos especiais, concebidos para contornar o sistema, pelo que muitos programas de proteção não conseguem detetar a carga útil de forma estática e durante a execução.

Figura 2. Fluxo de Ataque do TrickGate

Atribuição

A CPR não conseguiu obter uma filiação clara. A CPR assume, com base nos clientes assistidos, que se trata de um grupo underground russófono.

“O TrickGate é o mestre dos disfarces. Tem recebido muitos nomes com base nos seus variados atributos, incluindo, "Emotet's packer", "new loader", "Loncom", "NSIS-based crypter" e muito mais. Ligámos os pontos da última pesquisa e com grande confiança a uma única operação que parece ser oferecida como um serviço.

O facto de muitos dos maiores grupos nos últimos anos terem escolhido o TrickGate como ferramenta para superar os sistemas defensivos, é notável. Em termos simples, TrickGate tem técnicas incríveis de dissimulação e evasão. Monitorizámos o aparecimento do TrickGate escrito com diferentes tipos de linguagem de código e utilizando diferentes tipos de ficheiros. Mas, o núcleo permaneceu relativamente estável. As mesmas técnicas utilizadas há seis anos continuam a ser utilizadas hoje em dia".Afirma Ziv Huyan, Malware Research and Protection Group Manager at Check Point Software