Wat eruitzag als een legitieme RMM-tool blijkt een gevaarlijke remote access trojan. TrustConnect had een professionele website en EV-certificaat, maar onderzoekers van Proofpoint ontdekten dat het gaat om nieuwe malware-as-a-service. De aanvallers gebruikten AI om hun malware te ontwikkelen.
Cybersecuritybedrijf Proofpoint heeft onderzoek gepubliceerd naar TrustConnect, een tool die zich voordoet als legitieme remote monitoring en management-software maar in werkelijkheid een remote access trojan is. Het bedrijf stelt dat TrustConnect opereert als malware-as-a-service.
Professionele vermomming
TrustConnect zag er volgens de onderzoekers uit als elke andere RMM-tool. De malware had een professionele businesswebsite en was zelfs voorzien van een Extended Validation-certificaat. Door deze vertrouwenssignalen wisten cybercriminelen securitycontroles te omzeilen voordat onderzoekers de certificaten konden laten intrekken.
Proofpoint stelt dat de tool functioneert als een backdoor met volledige remote desktop toegang, het uitvoeren van commando’s en bestandsoverdracht. De malware wordt vaak samen geleverd met of via legitieme tools zoals ScreenConnect en LogMeIn.
Snelle aanpassing na verstoring
Na het verstoren van hun infrastructuur schakelden de aanvallers volgens het onderzoek snel over naar een nieuwe versie genaamd DocConnect. Dit toont volgens Proofpoint het aanpassingsvermogen van de dreigingsactoren.
Het bedrijf concludeert op basis van artefacten dat dezelfde groep eerder betrokken was bij Redline-stealeractiviteiten. De aanvallers vullen volgens de onderzoekers gaten op die ontstonden door het verstoren van andere malware-as-a-service operaties.
AI versnelt ontwikkeling
Proofpoint stelt dat zowel de TrustConnect- als DocConnect-websites en -agents zeer waarschijnlijk gecodeerd zijn met behulp van AI. Het bedrijf verwacht dat toekomstige versies aanzienlijk geavanceerder zullen zijn door de inzet van AI-tools.
De onderzoekers benadrukken dat cybercriminelen hun methoden snel vernieuwen dankzij AI, waardoor ze momentum behouden. Dit maakt het volgens het bedrijf des te belangrijker om adequaat op deze ontwikkelingen in te spelen.
Het misbruik van vertrouwenssignalen zoals EV-certificaten en de camouflage als legitieme bedrijfstools maken TrustConnect volgens Proofpoint een representatief voorbeeld van hoe moderne malware-operaties werken.
