Proofpoint: 'TrustConnect-malware doet zich voor als legitieme bedrijfssoftware'

Hiervoor waarschuwen cybersecurityonderzoekers van Proofpoint. Uit het onderzoek blijkt dat TrustConnect functioneert als een volwaardige backdoor, met mogelijkheden voor remote desktoptoegang, het uitvoeren van opdrachten en bestandsoverdracht. De malware wordt vaak geleverd via of in combinatie met legitieme tools zoals ScreenConnect en LogMeIn, wat wijst op een overlap met bestaande cybercriminele infrastructuur.

Misbruik van vertrouwde systemen

De dreigingsactor achter TrustConnect maakt gebruik van EV-certificaten om malware digitaal te ondertekenen, waardoor detectie wordt bemoeilijkt. Daarnaast toont het onderzoek aan dat cybercriminelen na verstoring van hun infrastructuur snel overschakelen op nieuwe methoden. Zo wordt momenteel de opvolger DocConnect getest, wat volgens Proofpoint wijst op het aanpassingsvermogen van de actor. Uit artefacten in het ecosysteem en operationele overeenkomsten concluderen de onderzoekers dat dezelfde groep eerder betrokken was bij activiteiten rond de Redline-stealer, een andere vorm van malware.

De snelheid waarmee dreigingsactoren hun methoden vernieuwen, wordt deels toegeschreven aan het gebruik van AI-agents. Volgens de onderzoekers is het waarschijnlijk dat zowel de websites als de agents van TrustConnect en DocConnect met behulp van AI zijn ontwikkeld. Dit stelt criminelen in staat om hun aanvallen sneller te innoveren en uit te voeren, waardoor ze hun momentum behouden.

Doorlopende dreiging

Hoewel verstoringen van MaaS-activiteiten effectief zijn, vullen cybercriminelen gaten in de markt snel op met nieuwe tools. TrustConnect deelt technieken en leveringsmethoden met andere campagnes waarbij RMM-tools worden misbruikt. De onderzoekers benadrukken dat het cruciaal is om alert te blijven op deze ontwikkelingen, aangezien dreigingsactoren voortdurend zoeken naar manieren om slachtoffers te maken.

Meer informatie is hier te vinden.