Специалисты компании Proofpoint выявили новое вредоносное обеспечение, распространяемое на коммерческой основе и замаскированное под официальный программный продукт, сообщает The Register. Его разработчики представлялись сотрудниками якобы реальной фирмы, предлагающей решения для удаленного администрирования и мониторинга (RMM) корпоративного класса. Для доступа к этому «продукту» требовалось оформить ежемесячную подписку за 300 долларов.
На самом деле программа являлась троянцем удаленного доступа (RAT), который «поставщик» распространял по модели MaaS (вредоносное ПО как услуга).
Организаторы этой схемы приложили немало усилий, чтобы их «продукт» казался максимально аутентичным. Помимо создания уникального названия — TrustConnect, злоумышленники запустили профессионально оформленный сайт, ориентированный на деловую аудиторию, и даже сумели получить сертификат подписи кода с расширенной проверкой (EV). Этот сертификат использовался для подписания вредоносного кода, что помогало ему обходить защитные механизмы на компьютерах жертв.
Получение подобного сертификата требует официального подтверждения существования компании, на чье имя он выдается, в одном из удостоверяющих центров.
В Proofpoint отмечают, что сами изначально почти поверили в легитимность TrustConnect, предположив, что это настоящий инструмент, который был просто использован злоумышленниками. Обычно так и происходит: операторы, работающие по модели MaaS, часто маскируют свои вредоносные программы под известное легальное программное обеспечение, чтобы упростить их внедрение в корпоративную инфраструктуру.
Домен trustconnectsoftware[.]com, на котором размещался сайт фиктивного вендора, был зарегистрирован 12 января 2026 года. По мнению экспертов Proofpoint, веб-сайт, вероятно, был создан с использованием инструментов генеративного искусственного интеллекта.
«Разработчик вредоносного ПО использует этот домен в качестве "корпоративного сайта", предназначенного для убеждения общественности (включая поставщиков сертификатов) в том, что программа является законным RMM-решением. Для этого применяются фальшивые данные, такие как статистика пользователей и техническая документация», — поясняют аналитики.
Этот же сайт использовался для продажи троянца удаленного доступа другим киберпреступникам за криптовалюту по подписочной модели с ежемесячной оплатой. Кроме того, он функционировал в качестве командного сервера (C2), через который злоумышленники управляли работой вредоносного ПО.
Наличие зарегистрированного домена и профессионально созданного сайта, по-видимому, помогло злоумышленникам получить подлинный EV-сертификат. Данный сертификат был аннулирован удостоверяющим центром 6 февраля 2026 года, однако файлы, подписанные до этой даты, продолжают определяться как имеющие валидную цифровую подпись.
Управляющий сервер с IP-адресом 178[.]128[.]69[.]245 был выведен из строя 17 февраля 2026 года благодаря усилиям Proofpoint и ее партнеров. Тем не менее, как сообщает The Register, это не создало серьезных трудностей для операторов — преступники быстро развернули новую инфраструктуру и начали тестирование обновленной версии вредоносной программы, которая также сменила название.
Троянец удаленного доступа TrustConnect дает злоумышленнику полный контроль над действиями пользователя, позволяет записывать и транслировать в интернет содержимое экрана жертвы, а также обладает стандартным для подобных инструментов функционалом: передачей файлов, выполнением системных команд и обходом контроля учетных записей (UAC).
Специалисты Proofpoint ассоциируют TrustConnect с пользователем известного инфостилера RedLine, известным в Telegram под ником @zacchyy09. Именно его контактные данные были указаны на сайте TrustConnect для связи по вопросам поддержки и покупки.
Информация о пользователях RedLine стала публичной после проведения операции «Магнус» (Operation Magnus) правоохранительными органами Европы и США осенью 2024 года. В ходе этой операции был получен доступ ко всем серверам, задействованным в распространении RedLine.
Согласно «Лаборатории Касперского», в 2023 году каждое второе устройство, атакованное стилерами, было заражено именно RedLine.
В Proofpoint сообщают, что за короткий период своей активности TrustConnect успел принять участие в нескольких кампаниях. Для его распространения злоумышленники использовали фишинговые рассылки, отправляя письма на английском и французском языках в различные организации.
В письмах содержалось предложение принять участие в некоем проекте, а для получения деталей необходимо было перейти по указанной ссылке. URL вел на исполняемый файл MsTeams.exe, который при запуске загружал TrustConnectAgent.exe и устанавливал соединение с командным сервером TrustConnect.
В рамках одной такой кампании рассылалось от нескольких десятков до тысячи электронных писем.
