Thought Leadership
Für 300 US-Dollar im Monat können Kriminelle einen vollwertigen Remote Access Trojan mieten, inklusive Dashboard, gefälschtem Firmenzertifikat und professioneller Website.
Sicherheitsforscher von Proofpoint haben eine neue Malware-as-a-Service (MaaS) namens TrustConnect aufgedeckt, die sich als legitimes Remote Monitoring and Management (RMM)-Tool tarnt. Tatsächlich handelt es sich um einen Remote Access Trojan (RAT), der Angreifern umfassenden Fernzugriff auf infizierte Systeme verschafft.
Professionelles Auftreten als Tarnung
Die Domain trustconnectsoftware.com wurde am 12. Januar 2026 registriert. Die dahinterliegende Website wirkt auf den ersten Blick wie die eines seriösen Softwareanbieters: mit Kundenstatistiken, Produktdokumentation und einer aufgeräumten Optik. Sie ist vermutlich mit KI-Unterstützung erstellt. Gleichzeitig dient sie als Anmeldeplattform für zahlende Kriminelle.
Wer den Service nutzen will, zahlt 300 US-Dollar pro Monat, ausschließlich in Kryptowährung. Nach der Registrierung erhalten Kunden Zugang zu einem Command-and-Control-Dashboard, von dem aus sie ihre Angriffskampagnen steuern können.
Die Betreiber haben ein Extended Validation (EV)-Zertifikat auf den Namen „TrustConnect Software PTY LTD” aus Südafrika erworben. Solche Zertifikate kosten mehrere Tausend Dollar und sollen Vertrauen signalisieren. Mit diesem Zertifikat wurde die Malware digital signiert, um Sicherheitssoftware zu täuschen und Browser-Warnungen zu umgehen.
Getarnt als Teams, Adobe und Co.
Die Verbreitung der Malware erfolgt über verschiedene Kanäle und Köder: Veranstaltungseinladungen, Meeting-Anfragen, Steuer- und Behördenthemen. Die Schadsoftware wird passend zur missbrauchten Marke verpackt. Dateinamen wie MsTeams.exe, AdobeReader.exe oder Proposal.exe sollen Nutzer täuschen.
TrustConnect tritt dabei häufig nicht allein auf, sondern wird zusammen mit legitimen RMM-Tools wie ScreenConnect und LogMeIn verbreitet. Das deutet darauf hin, dass die Betreiber dieselbe kriminelle Kundschaft ansprechen, die bereits bekannte Fernwartungstools für Angriffe missbraucht.
Umfangreiche Funktionen für Angreifer
Das webbasierte C2-Dashboard bietet Kriminellen ein breites Funktionspaket: Ausführung vordefinierter oder benutzerdefinierter Befehle auf infizierten Systemen, Dateiübertragung, Auslesen von Systeminformationen sowie eine Remote-Desktop-Funktion mit voller Maus- und Tastaturkontrolle. Hinzu kommen Bildschirmaufzeichnungen, eine UAC-Bypass-Funktion und die Möglichkeit, Aktivitäten vor dem Opfer zu verbergen.
Geräte lassen sich in benutzerdefinierten Gruppen organisieren, und ein Aktivitätslog dokumentiert alle durchgeführten Aktionen mit Zeitstempel in Echtzeit. Eine Funktion zum Löschen dieser Audit-Logs existiert allerdings nicht, was es Angreifern erschwert, ihre Spuren zu verwischen.
Vorkonfigurierte Installer stehen in verschiedenen Brandings zur Verfügung, von Microsoft Teams und Zoom bis hin zu gefälschten Behördennamen.
Infrastruktur gestört, Betreiber weichen aus
Proofpoint hat gemeinsam mit Partnerorganisationen Maßnahmen ergriffen, um TrustConnect zu stoppen. Am 6. Februar 2026 gelang es in Zusammenarbeit mit The Cert Graveyard, das EV-Zertifikat zu widerrufen. Der Widerruf wirkt jedoch nicht rückwirkend: Bereits signierte Dateien bleiben weiterhin gültig.
Eine koordinierte Aktion gegen die Infrastruktur wurde am 17. Februar 2026 abgeschlossen. Die Störung zeigte zwar Wirkung, doch die Betreiber reagierten schnell. Kurz vor dem Takedown identifizierten die Forscher bereits den Umzug auf eine neue Infrastruktur, verbunden mit einer neuen Malware namens DocConnect. Diese Nachfolgevariante ist technisch ausgereifter und basiert auf einer React Single Page Application mit Supabase-Backend.
(lb/Proofpoint)
