TrustConnect: : Discount-Maas als perfekt getarnte Fernwartung mit Gütesigel

Sicherheitsexperten des US-Unternehmens Proofpoint haben eine neue Malware-as-a-Service-(MaaS)Plattform mit dem Namen TrustConnect identifiziert. Die Schadsoftware tarnt sich als Remote Monitoring and Management Werkzeug, fungiert jedoch tatsächlich als Remote Access Trojaner (RAT). Ziel ist es, Angreifern einen dauerhaften und weitreichenden Fernzugriff auf kompromittierte Systeme zu ermöglichen.

Das Geschäftsmodell

Die Betreiber agieren mit bemerkenswerter Professionalität. Die Domain trustconnectsoftware.com wurde am 12. Januar 2026 registriert und präsentiert eine scheinbar seriöse Softwarefirma mit professioneller Website, Produktbeschreibungen und vermeintlichen Kundenstatistiken. Vieles deutet darauf hin, dass die Inhalte mithilfe künstlicher Intelligenz erstellt wurden.

Der Zugang zur Plattform kostet 300 US Dollar pro Monat, zahlbar ausschließlich in Kryptowährungen. Nach der Registrierung erhalten Kunden Zugriff auf ein webbasiertes Command and Control Dashboard zur Steuerung ihrer Kampagnen.

Besonders brisant ist der Erwerb eines Extended Validation Zertifikats auf den Namen TrustConnect Software PTY LTD aus Südafrika. Solche Zertifikate kosten mehrere tausend US Dollar und signalisieren hohe Vertrauenswürdigkeit. Die Betreiber nutzten es, um ihre Malware digital zu signieren. Dadurch konnten Sicherheitswarnungen reduziert und Schutzmechanismen umgangen werden.

Raffinierte Verbreitungsmethoden

Unterschiedliche Bedrohungsakteure setzen TrustConnect in vielfältigen Kampagnen ein. Als Lockmittel dienen Veranstaltungseinladungen, Geschäftsvorschläge oder steuerliche Themen. Die Schadsoftware wird passend zur jeweiligen Tarnung in ausführbaren Dateien mit Namen wie MsTeams.exe, AdobeReader.exe oder Proposal.exe verpackt.

Auffällig ist die parallele Nutzung legitimer Fernwartungslösungen wie ScreenConnect und LogMeIn. Dies deutet darauf hin, dass TrustConnect gezielt an jene kriminellen Akteure vermarktet wird, die bereits etablierte Remote Monitoring and Management Werkzeuge missbrauchen.

Umfangreiche technische Fähigkeiten

Das Dashboard erlaubt das Ausführen vordefinierter oder individueller Befehle auf infizierten Systemen. Angreifer können Dateien übertragen, Systeminformationen auslesen und über eine Remote Desktop Funktion vollständige Maus- und Tastaturkontrolle übernehmen.

Weitere Funktionen umfassen Bildschirmaufzeichnungen, Umgehung der Benutzerkontensteuerung sowie Mechanismen zur Tarnung laufender Aktivitäten. Geräte lassen sich in Gruppen organisieren, sämtliche Aktionen werden mit Zeitstempel protokolliert.

Bemerkenswert ist jedoch das Fehlen einer Funktion zum Löschen dieser Protokolle. Für Angreifer erschwert dies die Spurenverwischung erheblich. Zusätzlich stellt die Plattform vorkonfigurierte Installationsprogramme mit unterschiedlichen Markenauftritten bereit, von bekannten Unternehmensnamen bis hin zu gefälschten Behördenbezeichnungen.

Große Widerstandsfähigkeit

Gemeinsam mit Partnern leitete Proofpoint Gegenmaßnahmen ein. Am 6. Februar 2026 wurde in Zusammenarbeit mit The Cert Graveyard das missbrauchte Extended Validation Zertifikat widerrufen. Am 17. Februar 2026 folgte eine koordinierte Störung der Infrastruktur.

Allerdings blieb der Effekt begrenzt. Bereits vor der Abschaltung identifizierten die Experten eine neue Infrastruktur mit einer technisch weiterentwickelten Variante namens DocConnect. Diese basiert auf einer React Single Page Application mit Supabase Backend und zeigt, wie anpassungsfähig und widerstandsfähig das kriminelle Geschäftsmodell ist.

TrustConnect verdeutlicht, wie professionell organisierte Malware as a Service Angebote inzwischen auftreten. Die Grenzen zwischen legitimer Fernwartung und gezielter Cyberkriminalität verschwimmen zunehmend – mit erheblichen Risiken für Unternehmen weltweit.

Weitere Artikel zum Thema: 

So sichern Unternehmen APIs gegen Cyberangriffe

Cloud-Apps entwickeln sich zu Malware-Schleudern

SingleSignOn: Sicherer Access mit Komfort ohne Passwort