Nelle scorse ore, gli analisti di Proofpoint hanno riportato in un lungo e articolato documento il caso TrustConnect, che possiamo definire come una vera e propria operazione di “branding” criminale. Gli autori di questo malware hanno infatti eretto un’impalcatura commerciale completa, spacciandosi per fornitori di soluzioni Remote Monitoring and Management (RMM) con tanto di sito web ufficiale e abbonamenti mensili da 300 dollari. Questa strategia definisce la nascita del RATaaS, ovvero il Remote Access Trojan venduto come servizio, ricalcando i modelli di business del software legale per mimetizzarsi nel rumore di fondo delle reti aziendali.

L’aspetto più inquietante di TrustConnect risiede nella cura maniacale per i dettagli formali. Per ottenere la fiducia necessaria a operare indisturbati, i criminali hanno registrato un dominio web professionale (immagine sotto), probabilmente arricchito da contenuti generati tramite intelligenza artificiale per simulare documentazione tecnica e testimonianze di clienti.

Il colpo di grazia alla postura di sicurezza delle vittime è arrivato tramite l’acquisizione di un certificato di firma del codice Extended Validation (EV). Questo sigillo di garanzia digitale ha permesso al malware di scavalcare i controlli di sicurezza più rigidi, inducendo i sistemi operativi a considerare il codice come affidabile. Persino i threat hunter professionisti hanno inizialmente faticato a distinguere TrustConnect da una reale utility di gestione remota, a dimostrazione di quanto l’inganno fosse strutturato con estrema competenza tecnica.

La scelta di mascherarsi da RMM non è casuale. Nell’ultimo anno, infatti, l’abuso di questi strumenti è cresciuto in modo esponenziale, con statistiche che indicano un incremento vicino al 300% nelle intrusioni che sfruttano canali di gestione remota.

TrustConnect

Gli attaccanti prediligono queste piattaforme perché offrono una pipeline diretta verso il cuore delle macchine delle vittime, garantendo privilegi elevati per il trasferimento di file, l’esecuzione di comandi e il monitoraggio in tempo reale degli schermi. TrustConnect incarna perfettamente questa tendenza, fornendo ai propri acquirenti il controllo totale su tastiera e mouse della vittima e facilitando l’esfiltrazione di dati sensibili o l’installazione di ransomware.

L’indagine tecnica di Proofpoint ha permesso di collegare questa infrastruttura a figure già note nel panorama del cybercrime, in particolare a clienti del famigerato infostealer Redline. Attraverso tracce lasciate su Telegram, gli analisti hanno identificato contatti legati a precedenti operazioni smantellate dalle forze dell’ordine, suggerendo che TrustConnect faccia parte di un ecosistema criminale interconnesso e resiliente.

Nonostante il sequestro dei server di comando e controllo e la revoca del certificato digitale avvenuti a febbraio, gli operatori hanno dimostrato una notevole capacità di adattamento, migrando rapidamente verso nuove infrastrutture e testando varianti aggiornate come DocConnect o SHIELD OS.

Le campagne di distribuzione osservate mostrano un uso sapiente dell’ingegneria sociale. Le esche variano da presunti inviti a gare d’appalto in ambito edilizio a comunicazioni governative o fiscali, scritte con un tono formale in diverse lingue. In molti casi, il malware veniva distribuito insieme a strumenti RMM autentici e conosciuti come ScreenConnect o LogMeIn, con l’obiettivo di confondere ulteriormente i team IT e creare molteplici punti di accesso.

Questa sovrapposizione tra lecito e illecito conferma che il settore del malware-as-a-service sta adottando standard operativi sempre più simili a quelli delle software house legittime, rendendo la difesa perimetrale una sfida costante che richiede un’analisi comportamentale profonda in grado di andare oltre una semplice verifica delle firme digitali.

(Immagine in apertura: Shutterstock)