Un packer basato su shellcode soprannominato TrickGate ha operato con successo senza attirare l’attenzione per oltre sei anni, consentendo agli attori delle minacce di distribuire una vasta gamma di malware come TrickBot, Emotet, AZORult, Agent Tesla, FormBook, Cerber, Maze e REvil nel corso degli anni.
“TrickGate è riuscito a rimanere sotto il radar per anni perché è trasformativo, subisce cambiamenti periodici”, ha dichiarato Arie Olshtein di Check Point Research, definendolo un “maestro dei travestimenti”.
Offerto come servizio ad altri attori delle minacce almeno dalla fine del 2016, TrickGate aiuta a nascondere i payload dietro uno strato di codice wrapper nel tentativo di superare le soluzioni di sicurezza installate su un host. I Packer possono anche funzionare come crittografi, criptando il malware come meccanismo di offuscamento. “I packer hanno caratteristiche diverse che consentono loro di eludere i meccanismi di rilevamento apparendo come file benigni, essendo difficili da decodificare o incorporando tecniche di elusione della sandbox”, ha osservato Proofpoint nel dicembre 2020.
Ma i frequenti aggiornamenti del packer-as-a-service commerciale hanno fatto sì che TrickGate sia stato rintracciato con vari nomi, come new loader, Loncom e NSIS-based crypter dal 2019.
I dati di telemetria raccolti da Check Point indicano che gli attori delle minacce che sfruttano TrickGate hanno individuato principalmente il settore manifatturiero e, in misura minore, i settori dell’istruzione, della sanità, della pubblica amministrazione e della finanza. Le famiglie di malware più diffuse utilizzate negli attacchi degli ultimi due mesi includono FormBook, LokiBot, Agent Tesla, Remcos e Nanocore, con concentrazioni significative segnalate a Taiwan, Turchia, Germania, Russia e Cina.
La catena di infezione prevede l’invio di e-mail di phishing con allegati dannosi o link trappola che portano al download di uno shellcode loader responsabile della decriptazione e del lancio del payload vero e proprio in memoria. L’analisi dello shellcode effettuata dalla società israeliana di cybersicurezza mostra che “è stato costantemente aggiornato, ma le funzionalità principali sono presenti in tutti i campioni dal 2016”. Olshtein ha osservato che “il modulo di iniezione è stato la parte più coerente nel corso degli anni ed è stato osservato in tutti gli shellcode di TrickGate”.
