Se descubre el uso de TrickGate como herramienta para burlar los sistemas defensivos

Recomendados....   » Digitalización y seguridad: motor de innovación en el sector financiero Leer  » Replanteando la gestión de residuos y eliminación de activos informáticos Guia » Cómo proteger el nuevo perímetro Leer

Check Point Research ha descubierto un servicio de software bautizado como "TrickGate", que lleva más de seis años ayudando a los ciberdelincuentes a eludir la protección de los EDR. La capacidad de transformación de TrickGate le ha permitido permanecer bajo el radar, y aunque el envoltorio se ha modificado, los principales componentes de su shellcode siguen utilizando como herramienta de ciberataque que permite propagar su malware más fácilmente. Entre sus clientes se encuentran atacantes tan conocidos como Cerber, Trickbot, Maze, Emotet, REvil, Cobalt Strike, AZORult, Formbook, AgentTesla y muchos más.

“TrickGate es un maestro del disfraz. Se le han dado muchos nombres basados en sus atributos, incluyendo, "Emotet's packer", "New loader", "Loncom" o "NSIS-based crypter", entre otros. Ahora, hemos unido las conclusiones de investigaciones anteriores y podemos apuntar a un único agente que parece ofrecerse como servicio”, asegura Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

Check Point ha monitorizado entre 40 y 650 ataques semanales durante los dos últimos años. Según su telemetría, los ciberdelincuentes que utilizan TrickGate se dirigen principalmente al sector manufacturero, pero también apuntan a otros sectores como la educación, la sanidad, las finanzas y las empresas comerciales. Los ataques se distribuyen por todo el mundo, con una mayor concentración en Taiwán y Turquía. La familia de malware más utilizada en los dos últimos meses es Formbook, que representa el 42% de la distribución total rastreada.

Si bien se han detectado diversas formas en el flujo de los ataques, el shellcode de TrickGate se encarga de descifrar las instrucciones y el código dañino e inyectarlos sigilosamente en nuevos procesos. El programa malicioso se cifra y luego se empaqueta con una rutina diseñada para eludir el sistema, de modo que muchas soluciones de seguridad no pueden detectar la carga útil de forma estática ni en tiempo de ejecución.

Por el momento los investigadores no han conseguido atribuir una afiliación clara para estos ataques, aunque supone, basándose en los clientes a los que ha dado servicio, que se trata de una banda clandestina de habla rusa.

 “El hecho de que TrickGate sea la herramienta que han elegido muchos de los mayores ciberdelincuentes para burlar los sistemas defensivos es muy relevante. Cuenta con técnicas increíbles de enmascaramiento y evasión. Desde Check Point Research continuamos supervisando los movimientos de TrickGate utilizando diferentes tipos de lenguaje de código y de archivos, pero el flujo central permanece relativamente estable. Las mismas técnicas utilizadas hace seis años siguen en uso hoy en día”, concluye Nieva.