Scoperta da Proofpoint, TrustConnect è la nuova piattaforma Malware-as-a-Service (MaaS) che si camuffa da legittimo strumento di monitoraggio e gestione remota (RMM). Per apparire autentica la piattaforma si presenta completa di un falso sito web aziendale e di un certificato di code-signing Extended Validation (EV). Sebbene si presenti come un software per l’IT enterprise, TrustConnect è in realtà un trojan ad accesso remoto (RAT) offerto ai cybercriminali al costo di 300 dollari al mese. La scoperta evidenzia una tendenza preoccupante. Ovvero gli attori delle minacce stanno affinando le tecniche, fondendo la presentazione e gli elementi distintivi tipici degli strumenti aziendali con malware sempre più efficaci. Accelerando così l’innovazione nel cybercrime anche grazie all’uso sempre più spinto dell’intelligenza artificiale.
TrustConnect, il RAT che sembra uno strumento di supporto
I ricercatori di Proofpoint “L’inganno di TrustConnect è ben congegnato. Si presenta come un software di supporto IT. In realtà fornisce ai criminali una backdoor completa con funzionalità di desktop remoto, trasferimento file ed esecuzione di comandi sul sistema della vittima. L’abuso di un certificato EV legittimo è stato un passo cruciale per superare i controlli di sicurezza. Permettendo così al malware di apparire come un software firmato e affidabile prima che i ricercatori, in collaborazione con i partner, ne ottenessero la revoca”.
Malware-as-a-Service (MaaS) – Un ecosistema criminale integrato e resiliente
L’analisi di Proofpoint mostra come TrustConnect si inserisca in un ecosistema criminale già consolidato. Il malware viene spesso distribuito insieme, o seguito, a strumenti RMM legittimi come ScreenConnect e LogMeIn, sfruttando le stesse catene di attacco per ottenere accesso iniziale. Nonostante l’intervento di Proofpoint abbia interrotto parte dell’infrastruttura del malware, il gruppo criminale che lo gestisce ha dimostrato una notevole resilienza. In breve tempo, ha migrato le operazioni su nuove infrastrutture e ha iniziato a testare DocConnect, versione rinominata del malware. Suggerendo così una rapida capacità di adattamento e sviluppo. I ricercatori valutano con moderata fiducia che l’attore dietro a questa operazione fosse in precedenza associato all’attività del noto stealer Redline.
MaaS – L’intelligenza artificiale come acceleratore del cybercrime
Un aspetto chiave è il probabile utilizzo di agenti AI per la programmazione del malware e la creazione dei siti web fasulli. La nuova versione DocConnect appare significativamente più avanzata. A dimostrazione di come l’AI stia diventando un potente alleato per i cybercriminali, consentendo loro di innovare e adattarsi a una velocità senza precedenti. L’emergere di TrustConnect conferma che, sebbene le operazioni di contrasto al cybercrime siano efficaci, il mercato illegale si stia riorganizzando rapidamente. Questo per colmare i vuoti lasciati da malware come Redline, Lumma Stealer e Rhadamanthys, generando nuove e insidiose minacce.
