CheckPoint’teki araştırmacılar, en korkulan hizmet olarak paketleyicilerden biri olan TrickGate’in pazara geri döndüğünü buldu. Siber suçlular, kötü amaçlı yazılımları sarmak için TrickGate’i kullanır ve bu da antivirüs yazılımının onu algılamasını zorlaştırır. Ölümcül kötü amaçlı yazılım yükü arasında şaşırtıcı bir aday buldular: TrickBot!
2016’dan beri tehdit ortamını yöneten kötü şöhretli Windows kötü amaçlı yazılımının eskidiği düşünülüyordu ve operasyonlarının kapatıldığı düşünülüyordu. Check Point Software Technologies, Orta Doğu Ülke Müdürü Ram Narayanan, hala alıcıların olduğunu doğruladı.
TrickGate kötü amaçlı yazılım paketleyicisi, dış ambalajını sürekli değiştirerek güvenlik ürünlerinden kaçmasına olanak tanır. TrickGate aynı zamanda birçok kötü amaçlı araçlarfidye yazılımları, bilgi hırsızları dahil, bankacılık kötü amaçlı yazılımıve kripto madencileri.
APT kuruluşlarının ve tehdit aktörlerinin TrickGate’i kullandığı bilinmektedir. İlgili aracı ayrıca imalat sektörü, eğitim tesisleri, sağlık hizmetleri, finans ve ticari işletmeler dahil olmak üzere çeşitli sektörleri hedef almıştır.
Paketleyicinin kapsamlı incelemesine rağmen, TrickGate bir kılık değiştirme ustası olmaya devam ediyor ve farklı özelliklerinden dolayı çeşitli isimlerle anılıyor. “TrickGate”, “Emotet’in paketleyicisi”, “yeni yükleyici”, “Loncom”, “NSIS tabanlı şifreleyici” ve diğerleri olarak bilinir.
Siber suçlarda iki güçlü oyuncu olan TrickGate ve TrickBot’un iç içe geçmiş hikayesi
Raporlar, APT gruplarının ve tehdit aktörlerinin, kötü amaçlı kodlarını gizlemek ve güvenlik teknolojilerinden kaçmak için yaygın olarak TrickGate kullandığını gösteriyor. Cerber, Trickbot, Maze, Emotet, REvil, CoinMiner, Cobalt Strike, DarkVNC, BuerLoader, HawkEye, NetWire, AZORult, Formbook, Remcos, Lokibot, AgentTesla gibi kötü şöhretli birçok kötü amaçlı yazılım ailesi, sarma çözümü olarak TrickGate’i kullanmıştır.
TrickGate’in birçok tehdit grubunu finanse ettiği bildirildi, ancak paketleyiciye en çok benzeyen, kötü şöhretli TrickBot. Uzmanlara göre, ünlü TrickBot kötü amaçlı yazılımı, ilk olarak 2016 yılında keşfedilen ve o zamandan beri kimlik bilgisi, veri ve kişisel bilgi hırsızlığı dahil olmak üzere çok çeşitli suç işlemlerini gerçekleştirebilen modüler, çok aşamalı bir kötü amaçlı yazılım haline gelen bir bankacılık Truva Atı. Sızan ağa daha fazla erişim elde etmek için hesap ayrıcalıklarını artırma.
TrickBot kötü amaçlı yazılımı, kötü niyetli eylemlerini gerçekleştirmek için paketleyicileri çalıştıran siber suçlulardır ve bu da antivirüs yazılımlarının kötü amaçlı yazılımlarını tespit etmesini zorlaştırır. zararlı kod. Hacker çevrelerinde “Crypter” ve “FUD” olarak adlandırılan paketleyici, antivirüs programlarının kodu algılamasını engeller.
Eskimiş gibi görünen TrickBot kötü amaçlı yazılımı neden hala var?
TrickBot, tespit edilmekten kurtulma yeteneği, güvenlik önlemlerine uyum sağlamak için sık sık güncellemeleri ve kimlik avı kampanyaları ve istismar kitleri aracılığıyla yaygın olarak dağıtılması nedeniyle popülerdir. Son on yılda pek çok kötü amaçlı yazılımın geçerliliği sona ermiş olsa da, birçoğu hâlâ piyasada ve çalışıyor.
Tespit ve güvenlik önlemlerinden kaçınmak için taktiklerini sürekli olarak güncellediği ve dağıtımı, kimlik avı ve istismar kitleri aracılığıyla sürdürüldüğü için TrickBot hala çalışır durumdadır. Aynı zamanda birçok sistemi hedef alarak operatörleri için karlı bir girişim haline getirmesiyle tanınır.
TrickBot, kullanıcıları kandırarak kötü amaçlı ekleri açmaları için yaygın hasara neden oldu ve COVID-19 gibi küresel olaylara uyum sağladı. Zirve döneminde günde 240 milyon spam mesaj gönderdi ve kötü amaçlı web sitelerine bağlantılar aracılığıyla yayıldı.
2021’de TrickBot, kurumsal ağlarda %11’lik bir etkiyle küresel kötü amaçlı yazılım tablosunun zirvesinde yer aldı ve diğer kötü amaçlı yazılım aileleriyle bağlantılıydı. 2022’de TrickBot reddetti, ancak Emotet kötü amaçlı yazılımı baskın tehdit haline geldi.
“Trickbot, yaşam döngüsü boyunca onları yaymak için sürekli olarak farklı kötü amaçlı yazılım aileleriyle ilişkilendirildi. Örneğin Ryuk fidye yazılımı veya BazarBackdoor, Trickbot tarafından sunulan kötü amaçlı yazılım ailelerinden yalnızca birkaçıdır. Check Point Yazılım Teknolojileri Orta Doğu Ülke Müdürü Ram Narayanan, The Cyber Express ile yaptığı konuşmada, Ekim 2020’de botnet’in devre dışı bırakılmasından sonra durum değişmedi” dedi.
“TrickBot, öncelikle spam kampanyaları veya Emotet gibi kötü amaçlı yazılımlar aracılığıyla sunulan bir Windows platformu Bankacılık Truva Atı’dır. Narayanan, virüs bulaşmış sistem hakkında bilgi toplar ve uzaktan kontrol ve ağ yayma da dahil olmak üzere geniş seçenek yelpazesinden isteğe bağlı modülleri çalıştırabilir” diye ekliyor.
Kötü amaçlı yazılımın arkasındaki Trickbot çetesi, modülleri bankacılık kimlik bilgilerini çalmak, keşif yapmak ve hedefli fidye yazılımı saldırıları gerçekleştirmek için kullanır. Mevcut durumuna rağmen, TrickBot’un kodunun karmaşık gelişimi muhtemelen gelecekteki siber tehditlerde kullanılacaktır.