Поделиться
В Сети под видом ПО для бизнеса предлагали купить троян, работающий по подписке за $300 в месяц
В Сети до недавнего времени предлагали купить подписку на новый RMM-инструмент TrustConnect за $300 в месяц, который на деле оказался трояном удаленного доступа. Стоящие за его созданием злоумышленники, чтобы вредонос вызывал доверие, создали очень качественный сайт, в том числе содержащий поддельные отзывы клиентов и документацию к «продукту». Они даже сумели получить EV-сертификат и почти смогли обмануть исследователей в области ИБ, которые едва не поверили в существовании легитимной версии TrustConnect.Необычный вредонос
Исследователи из компании Proofpoint обнаружили новое коммерческое вредоносное ПО, маскирующееся под легитимный инструмент, пишет The Register. Его создатели выдавали себя за якобы реально существующего вендора софта для удаленного мониторинга и управления (RMM) корпоративного уровня. Для получения доступа к «продукту» предлагалось оформить подписку стоимостью $300 в месяц.
В действительности же ПО представляло собой троян удаленного доступа (RAT), которым «вендор» торговал по модели MaaS (вредоносное ПО как услуга).
Стоящие за сервисом люди приложили значительные усилия, нацеленные на то, чтобы их «продукт» выглядел максимально похожим на легитимное ПО. Помимо присвоения ему уникального названия – TrustConnect, злоумышленники запустили крайне убедительно выглядящий сайт, нацеленный на бизнес-клиентов, и даже смогли получить сертификат подписи кода с расширенной проверкой (EV), с помощью которого вредоносное ПО подписывалось для успешного прохождения проверок на безопасность на компьютерах жертв.
Для получения такого сертификата требуется подтвердить факт существования компании, на имя которой он оформляется, в одном из центров сертификации.
Специалисты Proofpoint признаются, что сами едва не попались на уловку киберпреступников, сперва посчитав TrustConnect легитимным инструментом, который был взят на вооружение злоумышленниками. Чаще всего именно так и происходит: выбравшие модель MaaS операторы, как правило, маскируют вредоносное ПО под хорошо известные программные продукты. Так его легче внедрить в инфраструктуру организации.
Подробнее о TrustConnect
Доменное имя trustconnectsoftware[.]com, привязанный к веб-сайту фейкового вендора, был зарегистрирован 12 января 2026 г. Сайт, вероятно, был создан при помощи инструментов генеративного искусственного интеллекта, полагают в Proofpoint.
«Создатель вредоносного ПО использует [упомянутый ранее] домен в качестве "бизнес-сайта", призванного убедить общественность (включая поставщиков сертификатов) в том, что программное обеспечение является легитимным RMM-приложением. Для этого используются поддельные данные, такие как статистика по клиентам и документация по программному обеспечению», – отмечают эксперты.
Этот же веб-сайт использовался для продаж трояна удаленного доступа другим киберпреступникам за криптовалюту по подписочной модели, предусматривающей ежемесячную оплату. Кроме того, он играл роль командного сервера управления (C2), с помощью которого злоумышленники контролировали работу вредоносного ПО.
Факт наличия домена и качественно оформленного веб-сайта, вероятно, упростил операторам задачу приобретения легитимного EV-сертификата. Соответствующий сертификат был отозван выдавшим его центром 6 февраля 2026 г., однако файлы, подписанные им до наступления этой даты, по-прежнему выглядят как подписанные легитимным сертификатом.
Командный сервер управления на IP-адресе 178[.]128[.]69[.]245 стараниями Proofpoint и ее партнеров прекратил работу 17 февраля 2026 г. Однако, как отмечает The Register, никаких особых проблем у оператора из-за этого не возникло – злоумышленники оперативно развернули новую инфраструктуру и приступили к тестированию новой версии трояна, который претерпел ребрендинг.
Троян удаленного доступа TrustConnect предоставляет злоумышленнику полный контроль над пользовательским вводом, позволяет вести запись и вести трансляцию в Сеть изображение с экрана монитора жертвы, а также предоставляет стандартную для инструментов управления удаленными рабочими столами функциональность: перенос файлов, выполнение системных команд и обход UAC.
Кто стоит за вредоносом
Эксперты Proofpoint связывают TrustConnect с одним из пользователей известного инфостилера RedLine с именем @zacchyy09 в Telegram. Именно его контакты были указаны на сайте TrustConnect в качестве ответственного за поддержку и продажи.
Список пользователей RedLine стал достоянием общественности по итогам операции «Магнус» (Operation Magnus), проведенной правоохранительными органами Европы и США осенью 2024 г. В ходе этой операции был захвачен доступ ко всем серверам, использовавшимся для распространения RedLine.
По данным «Лаборатории Касперского», в 2023 г. каждое второе атакованное стилерами устройство было заражено именно RedLine.
TrustConnect успел «засветиться» в нескольких вредоносных кампаниях
В Proofpoint рассказывают, что за время своей недолгой жизни TrustConnect успел поучаствовать сразу в нескольких кампаниях. Для его распространения злоумышленники использовали почтовый фишинг, рассылая электронные письма по различным организациям на английском и французском языках.
В них содержалось предложение поучаствовать в некоем проекте, а для получения дополнительных сведений о нем предлагалось перейти по адресу в Сети. URL указывал на исполняемый файл MsTeams.exe, который при запуске подгружал TrustConnectAgent.exe и обеспечивал взаимодействия с командным сервером TrustConnect.
В рамках одной кампании рассылалось от нескольких десятков до тысячи писем.
Короткая ссылка
