- Proofpointが、RATマルウェアのカバーとして構築された偽造RMMツール「TrustConnect」を発見
- 犯罪者がウェブサイトを作成し、証明書に支払い、企業を月額300ドルのサブスクリプションへ騙した
- ツールは攻撃者に完全なリモートコントロールを提供し、Redlineインフォスティーラーのカスタマーとリンク
サイバー犯罪者のグループは、企業にリモートアクセストロイの木馬(RAT)を感染させるために大変な努力をし、企業全体を設立し、ウェブサイトを構築し、正規の証明書に数千ドルを支払いました。
レポートで、Proofpointは、サイバー犯罪者が正規のリモート監視・管理(RMM)ツールをテックスタックで使用することは相当一般的だと述べました。彼らは被害者を騙して選択したツールをインストールさせ、ログイン認証情報を共有させ、インフォスティーラー、リモートアクセストロイの木馬、またはランサムウェアを含むあらゆる種類の二段階マルウェアを展開することができるようにします。
しかし、研究者がこれまで見たことがない是は、犯罪者が完全に新しい製品、ウェブサイトなども含めて構築し、表面上は正規に見えるが、実は完全に悪意あるものです。そしてそれはまさにTrustConnectが何であるかです。
RATにサブスクライブする
「最初、TrustConnectは悪用されている別の正規RMMツールのように見えました」とProofpointは説明しました。
「脅威アクターが選択できる既存のリモート管理ツールの膨大な数と、脅威ランドスケープでの普及を考えると、それは意味があった可能性があります。」
悪党は.comウェブサイトを構築し、証明書を申請し、「数千ドル」を支払い、「ドメイン所有者に代わって追加の検証レベル」を通過しました。証明書は2月6日に失効しましたが、その日付前に署名されたファイルは有効なままです。
トリックに気付かない企業は、実はRMMを使用するために月額300ドルを支払うことになります。彼らが代わりに得ているのは、攻撃者に完全なマウスおよびキーボード制御を与え、被害者の画面に映っているものを記録およびストリーミングする能力を与えるRATバックドアです。さらに、このツールはファイル転送、コマンド実行、またはユーザーアカウント制御バイパスなどのすべての通常のRMM機能を提供します。
確実に知ることは不可能ですが、Proofpointは、TrustConnectが一般的なインフォスティーラーであるRedlineのVIPカスタマーによって開発されたと「中程度の確信を持っている」と述べました。
そしてもちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、動画形式のアンボックスを見ることができます。また、WhatsAppからもご更新をご確認ください。
