ニセの遠隔監視ツールで、購読サービスとそれをプロモートするウェブサイトによってサポートされており、侵害されたシステムを管理するために使用されます。
システムに侵入した後、詐欺師はしばしば正規の遠隔管理ツールをインストールしてネットワーク上の足がかりを保ちます。ただし、ツールのベンダーがそれらを発見してロックアウトするリスクがあります。今、彼らは新しい選択肢を持っています:ニセの遠隔監視・管理(RMM)ツール、完全な見た目の堂々としたオンラインストアフロント付きで、ちょうど彼ら向けに作られたものです。
Proofpointの研究者によって発見された「TrustConnect」というマルウェア・アズ・ア・サービス(MaaS)には、それを宣伝するウェブサイトと、侵害されたマシンを管理するために必要なすべてのサポートインフラストラクチャがあります。そのサブスクリプションは月額300ドルで広告されています。
Proofpointは、インテリジェンスパートナーの支援を受けてマルウェアのインフラストラクチャの一部を遮断しました。同社はブログ記事で述べています。「しかし、行為者は回復力を示し、出版直前に別のニセRMMウェブサイトが特定され、DocConnectと呼ばれるマルウェアが広告されていました。」
研究者はTrustConnect操作とRedLineスティーラーを含むアクティビティ間のリンクに注目しました。マルウェアの特性と彼ら自身のインテリジェンスに基づいています。
初期アクセスのためのソーシャルエンジニアリング
被害者は正規の遠隔サポートという名目でTrustConnectをインストールするよう騙されます。Proofpointによると、攻撃者は脆弱性を悪用することで無言での展開を行う代わりに、ユーザーの操作に依存してプログラムを実行します。
「TrustConnectを配布する脅威アクターは、税金、ドキュメント共有、会議招待、イベント、政府関連のテーマなど、様々なおとり主題を使用しました」と研究者は書いています。MaaSはその顧客に意図されたブランド濫用に応じて異なるテンプレートを提供します。「1月26日以降、入札招待とイベントへの招待を装ったキャンペーンを観察しました。メッセージは侵害された送信者から送信され、メール本文には英語とフランス語の両方が含まれていました。」
攻撃者はまた、Zoom、Microsoft Teams、Adobe Reader、Google Meetなどの広く使用されているソフトウェアのインストーラーになりすまし、一致するアイコンとメタデータを持つ署名付き実行ファイルを作成しました。被害者は電子メール内のリンクをクリックしてそれらをダウンロードするよう促され、その後感染したシステムはTrustConnectウェブサイト上のオペレーターのコントロールパネルに自動的に登録され、本質的にTrustConnectを遠隔アクセストロイの木馬(RAT)にします。
1つの侵害された送信者を活用した特定のキャンペーンでは、1月31日から2月1日のScreenConnectインストール、その後2月3日のTrustConnectおよびLogMeln Resolveインストールへのリンクを含むおとりが含まれていました。
攻撃者は二重目的のウェブサイトを使用します
TrustConnectウェブサイトには現実的なマーケティング言語、機能の説明、およびドキュメントがあり、ソフトウェアをプロモートするための公開向けフロントとして、および購読顧客向けのツールの悪意あるサービスへのアクセスを購入するバックエンドポータルとして機能します。
「サイバー犯罪者は『無料トライアル』にサインアップするよう指示され、暗号通貨で支払う方法について指示を受け、TrustConnectポータルで支払いを確認します」と研究者は述べています。顧客にはRATがインストールされたデバイスのリストを含むウェブベースのC2ダッシュボードのために月額300ドルが請求されます。購読により、コマンド実行、ファイル転送、および感染したデバイスへの遠隔接続が可能になります。
さらに、加入者はコントロール対象の構築と改善された結果のためにそれら自身のホスティングにアップロードするために推奨される実行可能ファイル(EXE)をダウンロード可能になります。
trustconnectsoftware[.]comドメインは2026年1月12日に作成されました。
「マルウェア作成者はまたドメインを『ビジネスウェブサイト』として使用して、公開(証明書プロバイダーを含む)をソフトウェアがニセの顧客統計とソフトウェアドキュメントなどのニセの詳細を提供する正規のRMMアプリであると確信させるよう設計されました」とProofpointの研究者は書きました。
Proofpointは行為者がTrustConnectを作成するために大規模言語モデル(LLM)を使用した可能性があると疑っています。検出努力をサポートするためにインジケータURLのリストを共有し、TrustConnectは現在より高度なバリアントであるDocConnectを伴い、本格的なキャンペーンになる可能性があると警告しています。
