Ваш сисадмин ведёт себя странно. Почему не стоит доверять программе с названием TrustConnect

Компания Proofpoint сообщила о появлении новой вредоносной платформы, которая маскируется под корпоративный инструмент удалённого администрирования. Сервис под названием TrustConnect выдают за легальное решение для дистанционной поддержки, однако на деле это троян удалённого доступа с моделью подписки и полноценной панелью управления.

Домен «trustconnectsoftware[.]com» зарегистрировали 12 января 2026 года. На сайте разместили фиктивную информацию о продукте, документацию и статистику, создавая видимость реального бизнеса. Через тот же ресурс злоумышленники продавали доступ к сервису за 300 долларов в месяц с оплатой в криптовалюте. После регистрации клиенту предлагали перевести средства в Bitcoin или USDT, затем вручную подтвердить транзакцию. Проверку проводил сервер, сверяя данные блокчейна и собственную базу платежей.

Авторы платформы получили расширенный сертификат цифровой подписи на имя TrustConnect Software PTY LTD якобы из Южной Африки и использовали его для подписания исполняемых файлов. Такой сертификат стоит дорого и требует строгой верификации, поэтому его наличие помогало обходить защитные механизмы. 6 февраля 2026 года сертификат отозвали при участии партнёров Proofpoint, однако ранее подписанные файлы сохранили валидность.

Рассылки с TrustConnect зафиксировали в конце января. Письма отправляли с компрометированных аккаунтов, темы варьировались от приглашений к участию в тендерах до уведомлений о мероприятиях и государственных инициативах. Фишинговые письма вели на исполняемые файлы вроде MsTeams.exe, которые после запуска устанавливали TrustConnectAgent.exe и подключались к управляющему серверу.

В ряде кампаний одновременно распространяли легальные средства удалённого доступа, включая ScreenConnect и LogMeIn Resolve. В отдельных случаях после установки трояна разворачивали устаревшие версии ScreenConnect с истёкшими или отозванными сертификатами, а также использовали учётные записи сервиса Level RMM. Это указывает на тесную связь новой платформы с уже сложившейся экосистемой злоупотреблений RMM.

Панель управления TrustConnect позволяет просматривать список заражённых устройств, выполнять команды, передавать файлы и подключаться к рабочему столу жертвы. Поддерживаются запись экрана, скрытие активности оператора и обход контроля учётных записей. Установщики маскируют под популярные бренды — Zoom, Microsoft Teams, Adobe Reader и другие. Каждый файл содержит уникальный токен, который связывает заражённую систему с конкретным клиентом сервиса.

Инфраструктуру управляющего сервера частично вывели из строя 17 февраля 2026 года. Тем не менее оператор быстро подготовил альтернативную площадку и начал тестировать новый вариант под названием DocConnect или SHIELD OS v1.0. Обновлённая версия использует другую архитектуру и поддерживает внедрение PDF-приманок прямо в установщик.

В панели TrustConnect обнаружили контакт в Telegram — @zacchyy09. Этот же псевдоним фигурировал среди привилегированных клиентов в операции Operation Magnus, направленной против распространителей стилеров Redline и META. По оценке специалистов Proofpoint, с умеренной степенью уверенности за TrustConnect стоит участник экосистемы Redline или его партнёр.

История с TrustConnect показывает, что даже после ликвидации крупных вредоносных сервисов рынок быстро заполняют новые игроки. Маскировка под корпоративные инструменты остаётся одним из самых удобных способов проникновения в сети, а автоматизация разработки заметно ускоряет запуск подобных проектов.