- A Proofpoint cobriu a falsa ferramenta RMM “TrustConnect” construída como uma cobertura para malware RAT
- Criminosos criaram site, pagaram pela certificação e enganaram empresas com assinaturas de US$ 300/mês
- A ferramenta deu aos invasores controle remoto completo; Relacionado ao cliente Redline infostealer
Um grupo de cibercriminosos fez um grande esforço para infectar empresas com um trojan de acesso remoto (RAT), criando uma empresa inteira, codificando um site por vibração e pagando milhares de dólares por um certificado legítimo.
Em seu relatório, a Proofpoint disse que é bastante comum que os cibercriminosos usem ferramentas legítimas de monitoramento e gerenciamento remoto (RMM) em sua pilha de tecnologia. Eles enganavam as vítimas para que instalassem a ferramenta escolhida e compartilhassem suas credenciais de login, o que lhes permitiria espalhar todos os tipos de malware de segundo estágio, incluindo infostealers, trojans de acesso remoto ou ransomware.
No entanto, o que os pesquisadores não viram são criminosos construindo produtos, sites e tudo que parece legítimo, mas na verdade é completamente malicioso. No entanto, é disso que se trata o TrustConnect.
Assinando um RAT
“Inicialmente, o TrustConnect foi deturpado como outra ferramenta legítima de RMM”, explicou Proofpoint.
“Dado o grande número de ferramentas de administração remota disponíveis para os atores de ameaças escolherem e sua prevalência no cenário de ameaças, poderia ter feito sentido.”
Os criminosos construíram um site .com e solicitaram certificação, pagando “milhares de dólares” e passando por “níveis adicionais de validação em nome do proprietário do domínio”. O certificado foi revogado em 6 de fevereiro, mas os arquivos assinados antes dessa data ainda são válidos, disseram.
As empresas que não perceberem o truque pagarão US$ 300 por mês para usar o RMM. Em vez disso, o que eles estão obtendo é um backdoor RAT que dá aos invasores controle total do mouse e do teclado, bem como a capacidade de gravar e reproduzir tudo na tela da vítima. Além disso, a ferramenta oferece todos os recursos usuais do RMM, como transferência de arquivos, execução de comandos ou ignorar o Controle de Conta de Usuário.
Embora seja impossível ter certeza, a Proofpoint disse estar “moderadamente confiante” de que o TrustConnect foi desenvolvido por um cliente VIP da Redline, um conhecido infostealer.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber notícias, análises, unboxings de vídeos e receber atualizações nossas WhatsApp também
