一个被称为TrickGate的基于外壳代码的打包程序已经成功运行了六年多，没有引起注意，多年来，它使威胁者能够部署各种恶意软件，如TrickBot、Emotet、AZORult、Agent Tesla、FormBook、Cerber、Maze和REvil。

Check Point Research的Arie Olshtein说道：“TrickGate之所以能在雷达下保持多年，是因为它具有变革性——它会周期性地发生变化。”他将其称之为“伪装大师”

据估计，TrickGate至少从2016年底开始作为一项服务提供给其他威胁体，它将有效载荷隐藏在一层包装器代码后面，以试图通过主机上安装的安全解决方案。打包器还可以通过加密恶意软件作为混淆机制来充当密码器。

Proofpoint在2020年12月指出：“打包机具有不同的功能，可以通过表现为良性文件、难以进行反向工程或采用沙盒规避技术来规避检测机制。”。

并且商业包装服务的频繁更新意味着自2019年以来，TrickGate一直以各种名称进行跟踪，例如新加载器、Loncom和基于NSIS的密码器。

恶意软件规避检测

Check Point收集的遥测数据表明，利用TrickGate的威胁体主要是针对制造业，在较小程度上，针对教育、医疗、政府和金融等垂直行业。

在过去两个月的攻击中则是使用的最流行的恶意软件家族，包括FormBook、LokiBot、Agent Tesla、Remcos和Nanocore。据报道，这些恶意软件在台湾、土耳其、德国、俄罗斯和中国都有大量集中。

威胁者发送带有恶意附件或陷阱链接的网络钓鱼邮件，导致下载负责解密并将实际有效载荷发送到内存的外壳代码加载器。

以色列网络安全公司对外壳代码的分析表明，外壳代码“一直在更新，但自2016年以来，所有样本都具有主要功能。”奥尔什坦指出，“注入模块在多年来一直是相同程度很高的部分，在所有TrickGate外壳代码中都有观察到。”