Un packer basé sur un shellcode baptisé TrickGate fonctionne avec succès sans attirer l’attention depuis plus de six ans, tout en permettant aux acteurs de la menace de déployer un large éventail de logiciels malveillants tels que TrickBot, Emotet, AZORult, Agent Tesla, FormBook, Cerber, Maze et REvil sur les années.

« TrickGate a réussi à rester sous le radar pendant des années parce qu’il est transformateur – il subit des changements périodiquement », a déclaré Arie Olshtein de Check Point Research, le qualifiant de « maître des déguisements ».

Proposé en tant que service à d’autres acteurs de la menace depuis au moins fin 2016, TrickGate aide à dissimuler les charges utiles derrière une couche de code wrapper dans le but de contourner les solutions de sécurité installées sur un hôte. Les packers peuvent également fonctionner comme des crypteurs en cryptant le malware comme un mécanisme d’obscurcissement.

« Les packers ont différentes fonctionnalités qui leur permettent de contourner les mécanismes de détection en apparaissant comme des fichiers bénins, en étant difficiles à désosser ou en incorporant des techniques d’évasion de bac à sable », a noté Proofpoint en décembre 2020.

Mais les mises à jour fréquentes du packer commercial en tant que service signifient que TrickGate a été suivi sous divers noms tels que nouveau chargeur, Loncom et crypteur basé sur NSIS depuis 2019.

Les données de télémétrie recueillies par Check Point indiquent que les acteurs de la menace qui exploitent TrickGate ont principalement ciblé le secteur manufacturier et, dans une moindre mesure, les secteurs verticaux de l’éducation, de la santé, du gouvernement et de la finance.

Les familles de logiciels malveillants les plus populaires utilisées dans les attaques au cours des deux derniers mois incluent FormBook, LokiBot, Agent Tesla, Remcos et Nanocore, avec des concentrations importantes signalées à Taïwan, en Turquie, en Allemagne, en Russie et en Chine.

La chaîne d’infection consiste à envoyer des e-mails de phishing avec des pièces jointes malveillantes ou des liens piégés qui conduisent au téléchargement d’un chargeur de shellcode responsable du décryptage et du lancement de la charge utile réelle en mémoire.

L’analyse du shellcode par la firme israélienne de cybersécurité montre qu’il « a été constamment mis à jour, mais les principales fonctionnalités existent sur tous les échantillons depuis 2016 », a noté Olshtein. « Le module d’injection a été la partie la plus cohérente au fil des ans et a été observé dans tous les shellcodes TrickGate. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *