TrickGate-programvaren har hjulpet nettkriminelle med å omgå EDR-beskyttelse i over seks år, og takket være programmets konstante omskriving og forbedring har det vært i stand til å forbli uoppdaget. Men selv om programmet skrives om og endres over tid, brukes de viktigste byggesteinene fra TrickGates seks år gamle kildekode fortsatt i dag.

Check Point har klart å identifisere mellom 40 og 650 angrep hver uke de siste to årene utført ved hjelp av TrickGate. Det har vist seg at programvaren hovedsakelig ble brukt til angrep mot produksjonsindustrien, utdanning og helsevesen. Og den vanligste skadevare som er distribuert de siste to månedene er Formbook, en infostealer som retter seg mot Windows-operativsystemet, og står for hele 42 prosent av angrepene.

Infostealers har blitt en stadig mer vanlig angrepsmetode. Siden november 2022 har infostealers økt fra å påvirke omtrent eksempelvis 1 prosent av svenske organisasjoner til nå å være den vanligste metoden, og berøre 4,5 prosent av organisasjonene.

– TrickGate er utrolig godt bygget for å forbli uoppdaget, sier Mats Ekdahl, sikkerhetsekspert i Check Point Software. Tjenesten brukes av flere store nettkriminelle grupper og det faktum at de alle velger TrickGate er bemerkelsesverdig. Enkelt sagt, TrickGate er utrolige til å maskere både seg selv og angrepene tjenesten brukes til å utføre. Etter å ha undersøkt hvordan TrickGate håndterer ulike typer utfordringer, ser vi at kjerneflyten holdt seg relativt stabil. Den samme teknologien som ble brukt da tjenesten ble opprettet for seks år siden, brukes fortsatt med suksess i dag.