Check Point Research (CPR) kısa süre önce, kötü niyetli tehdit aktörleri tarafından altı yıldan uzun süredir kullanılan TrickGate adlı canlı bir yazılım hizmetini bildirdi. TrickGate, esas olarak, siber suçluların kötü amaçlı kod dağıtmak gibi kötü amaçlı faaliyetler gerçekleştirmesine izin veren bir paketleyicidir. antivirüs kontrollerinden kaçmak.
Araştırmacılara göre, TrickGate gibi bir paketleyicinin bunca yıl verimli ve tespit edilemez kalmasını sağlayan birkaç önemli nokta var.
İlk olarak, bir paketleyici her türlü yükü içerebilir ve herhangi bir tek ile sınırlı olmadığı için birçok farklı yükü paketlemek için de kullanılabilir. kötü amaçlı örnekler.
İkinci olarak, bir paketleyicinin doğal yapısı, ambalajında düzenli olarak değişikliklere izin verir, bu da güvenlik ürünlerinin tespitinden kaçmasını sağlar.
Ancak CPR, önceki araştırmalardan elde edilen noktaları birleştirmeyi başardı ve sonunda bir hizmet olarak sunulduğu anlaşılan tek bir operasyon buldu. Araştırmaları, aşağıdakiler gibi gruplardan çok sayıda tehdit aktörünün olduğunu gösteriyor: Cerberus, Duygu, REVİL, Labirent, Cerberi, Şahin göz, AZORult, form defteri, Remcos, LokiBit, AjanTesla ve daha fazlası kötü amaçlı yazılım dağıtmak için hizmetten yararlandı.
Danışma belgesi ayrıca, son iki yılda tehdit aktörlerinin haftada 40 ila 60 saldırı gerçekleştirmek için TrickGate’i kullandığını tahmin ediyor. Başlıca hedeflenen sektör imalattı, ancak eğitim, sağlık, finans ve ticari işletmeler gibi diğerleri de etkilendi.
“Saldırılar tüm dünyaya dağılmış durumda, Tayvan ve Türkiye’de artan bir yoğunluk var. CPR, son 2 ayda kullanılan en popüler kötü amaçlı yazılım ailesinin, toplam izlenen dağıtımın %42’sini oluşturan Formbook olduğunu yazdı. raporlamak.
Teknik derinliğe inen CPR güvenlik araştırmacısı Arie Olshtein, TrickGate’in tüm saldırı akışının, kötü amaçlı programın önce şifrelendiğini ve ardından özel bir rutinle paketlendiğini gösterdiğini açıkladı. Sistemin yükü statik olarak ve çalışma zamanında algılamasını önlemek için tasarlanmıştır.
CPR’nin tavsiyesi, tehdidi erken bir aşamada tespit etmenin bir yolunu sağladıkları için paketleyicinin yapı taşlarını çözmeye daha fazla dikkat edilmesi gerektiği ile sona eriyor. Bir bilgisayar korsanının dönüştürücü yeteneklerinin üstesinden gelmenin tek yolu, onlara gerçek kötü amaçlı yazılımlara gösterilen ilginin aynısını vermektir. Araştırmacılar artık yeni veya bilinmeyen kötü amaçlı yazılımları tespit etmek için belirlenen paketleyici TrickGate’i odak noktası olarak kullanabilirler.
Alakalı haberler
- TrickBot kötü amaçlı yazılımı, analizden kaçmak için cihazları çökertir
- Android Stalkerware MonitorMinor casusluk yapar, çalar ve kaçar
- SharkBot Banka Truva Atı ile Yüklenen Sahte Antivirüs Uygulamaları
- Kimlik avından ve kötü amaçlı yazılım tespitinden kaçınmak için CAPTCHA kullanan tehdit aktörleri
- PC, Mac, Android, iPhone için Güçlü Ama Henüz Tanıtılmamış Antivirüs