I ricercatori di Proofpoint, azienda attiva nella cybersecurity, hanno rivelato TrustConnect, una nuova piattaforma Malware-as-a-Service (MaaS) che si maschera da legittimo strumento di monitoraggio e gestione remota (RMM), completa di un finto sito web aziendale e di un certificato di code-signing Extended Validation (EV) per apparire autentica.
Sebbene si presenti come un software per l’IT enterprise, TrustConnect è in realtà un sofisticato trojan ad accesso remoto (RAT) offerto ai cybercriminali al costo di 300 dollari al mese. La scoperta evidenzia una tendenza preoccupante: gli attori delle minacce stanno affinando le loro tecniche, fondendo la presentazione e gli elementi distintivi tipici degli strumenti aziendali con malware sempre più efficaci, accelerando così l’innovazione nel cybercrime anche grazie all’uso sempre più spinto dell’intelligenza artificiale.
Un Trojan che appare come uno strumento di supporto
Come spiegano i ricercatori di Proofpoint: “L’inganno di TrustConnect è ben congegnato. Si presenta come un software di supporto IT, ma in realtà fornisce ai criminali una backdoor completa con funzionalità di desktop remoto, trasferimento file ed esecuzione di comandi sul sistema della vittima. L’abuso di un certificato EV legittimo è stato un passo cruciale per superare i controlli di sicurezza, permettendo al malware di apparire come un software firmato e affidabile prima che i ricercatori, in collaborazione con i partner, ne ottenessero la revoca.”
Un ecosistema criminale integrato e resiliente
L’analisi di Proofpoint mostra come TrustConnect si inserisca in un ecosistema criminale già consolidato. Il malware viene spesso distribuito insieme, o seguito, a strumenti RMM legittimi come ScreenConnect e LogMeIn, sfruttando le stesse catene di attacco per ottenere accesso iniziale.
Nonostante l’intervento di Proofpoint abbia interrotto parte dell’infrastruttura del malware, il gruppo criminale che lo gestisce ha dimostrato una notevole resilienza. In breve tempo, ha migrato le operazioni su nuove infrastrutture e ha iniziato a testare una versione rinominata del malware, chiamata DocConnect, suggerendo così una rapida capacità di adattamento e sviluppo. I ricercatori valutano con moderata fiducia che l’attore dietro a questa operazione fosse in precedenza associato all’attività del noto stealer Redline.
Il ruolo dell’intelligenza artificiale come acceleratore del cybercrime
Un aspetto chiave emerso dalla ricerca è il probabile utilizzo di agenti AI per la programmazione del malware e la creazione dei siti web fasulli. La nuova versione, DocConnect, appare significativamente più avanzata, dimostrando come l’AI stia diventando un potente alleato per i cybercriminali, consentendo loro di innovare e adattarsi a una velocità senza precedenti.
L’emergere di TrustConnect conferma che, sebbene le operazioni di contrasto al cybercrime siano efficaci, il mercato illegale si stia riorganizzando rapidamente per colmare i vuoti lasciati da malware come Redline, Lumma Stealer e Rhadamanthys, generando nuove e insidiose minacce.
