Proofpoint, empresa mundial en ciberseguridad centrada en las personas y los agentes de IA, demuestra nuevamente cómo los ciberdelincuentes usan cada vez más la estética de herramientas empresariales legítimas, así como otros elementos de confianza, y la asistencia de la IA para acelerar la innovación en sus delitos. En esta ocasión se trata de una nueva plataforma de malware como servicio (MaaS), TrustConnect, que se presenta como software de TI empresarial para monitorización y gestión a distancia (RMM), pero en realidad es un troyano de acceso remoto (RAT).
TrustConnect funciona como una puerta trasera con capacidades de escritorio remoto, transferencia de archivos y ejecución de comandos. Creada el pasado enero, el dominio de este malware (trustconnectsoftware[.]com) se mostraba como un sitio web comercial diseñado para convencer a los usuarios de que era una aplicación de RMM legítima, proporcionando estadísticas de clientes y documentación del software falsas, aunque en realidad funcionaba como inicio de sesión del MaaS. Proofpoint sospecha que los ciberdelincuentes utilizaron un modelo de lenguaje grande (LLM) para crear el sitio.
Estos obtuvieron incluso un certificado legítimo de firma de código de validación extendida para firmar digitalmente el malware, lo que les ayudó a eludir los controles de seguridad antes de que los investigadores coordinaran su revocación. La obtención de estos certificados EV es bastante costosa y requiere niveles adicionales de validación por parte del titular del dominio. Los atacantes pueden pagar a proveedores maliciosos por ellos o crearlos por su cuenta.
Aunque TrustConnect solo se hizo pasar por un RMM legítimo, los señuelos, las cadenas de ataque y las cargas útiles posteriores indican una superposición con las técnicas y los métodos de entrega observados en campañas de RMM por parte de múltiples actores de amenazas. Estos utilizaban una variedad de temas como reclamo, incluyendo impuestos, compartición de documentos, invitaciones a reuniones, eventos y asuntos gubernamentales. El MaaS proporcionaba plantillas para muchos tipos diferentes de abuso de marca.
Proofpoint, en colaboración con otros socios de inteligencia, consiguió interrumpir parte de la infraestructura del malware, causando un impacto en las actividades cibercriminales. Los atacantes, sin embargo, demostraron resiliencia con la identificación de otra versión renombrada de RMM fraudulento, DocConnect, que comenzaron a probar rápidamente.
“La aparición de TrustConnect demuestra que las interrupciones de operaciones MaaS como Redline, Lumma Stealer y Rhadamanthys no detienen el ciberdelito, sino que abren nuevas oportunidades para los creadores de malware”, indican los investigadores de Proofpoint. “Los atacantes siempre encontrarán la manera de comprometer a nuevas víctimas. Es probable que los sitios web de TrustConnect y DocConnect hayan sido desarrollados con asistencia de agentes de IA. Esto subraya cómo los ciberdelincuentes están adoptando activamente esta tecnología en su beneficio, reflejando la tendencia de su uso en la sociedad en general”.
