TrustConnect illustre une nouvelle génération de RAT conçus pour imiter des logiciels professionnels. Derrière cette fausse solution IT, TrustConnect offre aux cybercriminels un accès distant complet aux systèmes compromis.
Une nouvelle campagne identifiée par Proofpoint met en lumière TrustConnect. C’est une plateforme de malware-as-a-service conçue pour imiter un logiciel de gestion informatique. Présenté comme un outil professionnel de supervision à distance, ce programme cache en réalité un cheval de Troie vendu par abonnement à des groupes cybercriminels. L’offre, fixée à environ 300 dollars mensuels, illustre la sophistication croissante des services malveillants destinés aux attaquants.
Un logiciel de gestion à distance qui cache une porte dérobée
TrustConnect adopte l’apparence d’un logiciel RMM destiné aux équipes informatiques. Son site web et ses éléments visuels reproduisent ceux d’un éditeur professionnel. Cela renforce sa crédibilité auprès des victimes potentielles. Une fois installé, le programme agit comme une porte dérobée et offre un contrôle complet de la machine compromise.
Les opérateurs peuvent ouvrir une session à distance, transférer des fichiers ou lancer des commandes système. Ces fonctions correspondent à celles d’un outil d’assistance informatique classique, ce qui complique la détection. TrustConnect s’inscrit dans un phénomène plus large qui consiste à exploiter des logiciels d’administration à distance pour mener des intrusions discrètes.
Les chercheurs ont observé que le malware pouvait être utilisé avec des solutions connues comme ScreenConnect ou LogMeIn. Cela facilite son intégration dans des chaînes d’attaque existantes.
Un certificat officiel pour tromper les contrôles de sécurité
L’opérateur de TrustConnect a obtenu un certificat Extended Validation valide afin de signer le programme. Cette signature numérique a permis au logiciel de passer certains mécanismes de contrôle avant que le certificat ne soit révoqué à la suite des investigations.
Ce procédé démontre la volonté des attaquants de reproduire les signaux de confiance habituellement associés aux produits professionnels. Les chercheurs soulignent que les outils d’intelligence artificielle facilitent la création rapide de nouvelles variantes et accélèrent l’évolution de ce type d’opérations.
Une infrastructure capable de se reconstituer rapidement
Après plusieurs perturbations de son infrastructure, l’opérateur a déplacé ses services vers de nouveaux serveurs et a commencé à tester une version renommée DocConnect. Cette transition montre une organisation capable de relancer ses activités sans interruption prolongée.
Les analyses techniques révèlent aussi des indices qui relient cet acteur au malware RedLine Stealer, avec un niveau de confiance qualifié de modéré par les chercheurs. Selon Proofpoint, TrustConnect illustre une évolution notable des opérations malveillantes. Il y a des attaquants qui reproduisent de plus en plus fidèlement l’apparence des logiciels d’entreprise pour gagner la confiance des utilisateurs et contourner les défenses.
Article basé sur un communiqué de presse reçu par la rédaction.
