TrustConnect si presenta come software di supporto remoto, ma nasconde un RAT in abbonamento: sfrutta certificati legittimi e finti siti aziendali per aggirare utenti e difese.
Autore: Redazione SecurityOpenLab
Un trojan ad accesso remoto si maschera da legittimo strumento di monitoraggio e gestione remota per confondere le difese e gli utenti. È quanto scoperto dai ricercatori di Proofpoint, che hanno analizzato TrustConnect, una piattaforma malware-as-a-service venduta ai cyber criminali con un modello in abbonamento. Dietro all’apparenza di un software enterprise di supporto IT, completo di sito aziendale e documentazione, si nascondeva in realtà un RAT progettato per garantire il controllo persistente dei sistemi compromessi.
TrustConnect offre funzionalità tipiche degli strumenti RMM: accesso remoto al desktop, trasferimento di file, esecuzione di comandi e possibilità di interagire con l’ambiente della vittima come se si trattasse di una sessione di assistenza legittima. A rendere l’inganno ancora più credibile contribuisce l’uso di un certificato di code-signing Extended Validation, che fa apparire il software firmato e affidabile agli occhi degli utenti e di alcuni meccanismi di sicurezza. Così facendo il malware poteva superare più facilmente i controlli basati sulla reputazione del codice.
Secondo l’analisi, TrustConnect è parte di un ecosistema criminale che sfrutta da tempo gli strumenti di gestione remota come vettori di attacco. Il trojan può essere distribuito insieme o in sequenza a soluzioni RMM legittime, riutilizza le stesse catene di compromissione già osservate in campagne precedenti che abusavano di software come ScreenConnect o LogMeIn. Una volta ottenuto l’accesso, il malware permette agli operatori di mantenere una presenza stabile nella rete bersaglio, con capacità di movimento laterale e raccolta di informazioni, ostacolando la distinzione tra le attività malevole e quelle dei team IT autorizzati.
Le attività di contrasto portate avanti dagli esperti di Proofopoint hanno portato alla revoca del certificato EV e alla compromissione di parte dell’infrastruttura di comando e controllo associata a TrustConnect. L’ intervento ha interrotto una parte delle operazioni, ma il gruppo responsabile ha spostato rapidamente i propri asset su nuove infrastrutture e ha avviato lo sviluppo di una variante rinominata DocConnect. La nuova versione riprende lo stesso modello di falso RMM, introducendo modifiche al codice e alla presentazione del servizio per eludere meglio il monitoraggio e rendere più difficile il collegamento con la campagna originaria.
Dai dettagli raccolti emerge il probabile impiego di strumenti di AI nella progettazione sia del codice sia degli elementi di contorno, come il sito vetrina e i materiali di supporto. La rapidità con cui è stata resa disponibile la variante e la qualità di alcuni contenuti fanno ipotizzare l’uso di agenti AI per automatizzare parte dello sviluppo e della comunicazione. Questo aspetto conferma la tendenza più ampia di usare l’AI sia per affinare il malware, sia per costruire infrastrutture e componenti di marketing criminale che imitano sempre più da vicino il mondo del software commerciale.
Sul fronte dell’attribuzione, i ricercatori collegano l’operazione TrustConnect a soggetti già coinvolti nella distribuzione di infostealer come Redline. Il legame è ipotizzato sulla base di sovrapposizioni infrastrutturali, pattern operativi e riferimenti di contatto ricorrenti. Il quadro suggerisce che, dopo le azioni di contrasto che hanno colpito Redline, Lumma Stealer e Rhadamanthys, parte dell’ecosistema criminale si sia spostata verso soluzioni orientate al controllo remoto continuativo piuttosto che al solo furto di credenziali.
Per le aziende, questo caso rappresenta un segnale della crescente difficoltà nel distinguere gli strumenti di amministrazione leciti da quelli malevoli. La presenza di certificati legittimi, siti curati e interfacce professionali non è più un indicatore sufficiente di affidabilità. Diventa quindi necessario rafforzare le politiche di controllo sull’uso degli RMM, limitandone l’adozione, monitorando in modo puntuale le attività remote e verificando con attenzione l’origine e la necessità di ogni nuovo strumento introdotto in ambiente produttivo.