Вирус с лицензией: мошенники создали фиктивную IT-компанию, чтобы продавать трояны за $300 в месяц

Исследователи Proofpoint обнаружили кампанию, которая выходит за рамки привычного распространения вредоносного ПО. Хакеры не просто написали очередной вирус, они создали с нуля фиктивную компанию-разработчика, зарегистрировали юридическое лицо, построили корпоративный сайт, получили настоящий сертификат расширенной проверки (EV) и запустили вирус как подписку за $300 в месяц. Продукт назвали TrustConnect и позиционировали как средство удалённого мониторинга и управления (RMM), класс корпоративного софта, которому системные администраторы доверяют по умолчанию.

Сначала TrustConnect обманул даже самих аналитиков Proofpoint, при первичном анализе его приняли за очередной легитимный RMM-инструмент, который злоупотребляют хакеры. Лишь при глубоком исследовании стало понятно, что речь идёт о трояне удалённого доступа (RAT), упакованном в оболочку коммерческого продукта.

Значимость данного вопроса превосходит масштаб очередной вирусной угрозы

Корпоративные ИТ-специалисты привыкли доверять подписанному софту. Если программа имеет действующий EV-сертификат, её пропускают сквозные фильтры, SmartScreen не показывает предупреждений, а антивирусы снижают уровень подозрения. Вся система цифрового доверия строится на предположении, что удостоверяющий центр проверил заявителя и убедился в его легитимности.

Авторы TrustConnect именно это и эксплуатировали. Они зарегистрировали компанию TrustConnect Software PTY LTD якобы в Александрии (ЮАР), создали сайт на домене trustconnectsoftware[.]com (зарегистрирован 12 января 2026 года) и наполнили его фальшивой статистикой клиентов, документацией по продукту и разделом технической поддержки. По оценке Proofpoint, текст сайта с высокой вероятностью сгенерирован с помощью языковой модели.

Этой витрины оказалось достаточно, чтобы пройти расширенную проверку удостоверяющего центра и получить EV-сертификат. Обычно такие сертификаты обходятся в тысячи долларов и требуют подтверждения реальности бизнеса, но убедительная видимость сработала.

Сертификат был выдан 27 января. С этого же дня злоумышленники начали подписывать вредоносные файлы. Благодаря совместной работе Proofpoint и исследователей из проекта The Cert Graveyard сертификат удалось отозвать 6 февраля, но без обратной силы: все файлы, подписанные до этой даты, остались доверенными.

Что умеет TrustConnect

За RMM скрывается полноценный троян удалённого доступа с панелью управления на стороне хакера:

• Полный контроль мыши и клавиатуры жертвы.
• Запись и трансляция экрана в реальном времени через WebSocket (без дополнительной аутентификации).
• Передача файлов в обе стороны.
• Выполнение произвольных команд на машине жертвы.
• Обход механизма контроля учётных записей (UAC bypass).
• Возможность скрыть присутствие оператора от пользователя.

Панель управления выглядит как привычный дашборд RMM-решения: список устройств, группировка по клиентам, журнал аудита. На «странице для администратора» устройства прямо названы Victims (Жертвы). При этом журнал аудита не поддерживает очистку, а значит, оператор MaaS хранит компрометирующие данные на каждого клиента.

Подписка оформляется в криптовалюте (Bitcoin или USDT) за $300 в месяц. После оплаты сервер автоматически проверяет транзакцию на блокчейне. Вместе с подпиской покупатель получает набор готовых установщиков, замаскированных под Zoom, Microsoft Teams, Adobe Reader, Google Meet и несколько государственных шаблонов. Каждый файл весит около 35 МБ и содержит метаданные имитируемого бренда.

Фишинговые кампании: от «приглашения на тендер» до налоговых уведомлений

Proofpoint зафиксировала несколько кампаний распространения. Первая подтверждённая волна началась 26 января, фишинговые письма рассылались на английском и французском языках от скомпрометированных отправителей. Содержание: приглашение подать заявку на участие в проекте, ссылка на полный пакет документов.

Ссылка вела к исполняемому файлу MsTeams.exe, который устанавливал TrustConnectAgent.exe и подключался к управляющему серверу. Другие кампании использовали приманки на тему налогов, общих документов, приглашений на мероприятия и государственных услуг. Объём рассылок варьировался от нескольких десятков до тысячи писем; число целевых организаций, от менее десяти до более ста за кампанию.

Особенно показательно, что в ряде кампаний TrustConnect распространялся параллельно с настоящими RMM-инструментами, ScreenConnect и LogMeIn Resolve. Один и тот же отправитель за четыре дня в конце января, начале февраля рассылал ссылки то на легитимный ScreenConnect, то на LogMeIn, то на TrustConnect. После установки троян также разворачивал ScreenConnect как дополнительный инструмент закрепления, Proofpoint зафиксировала минимум девять отдельных серверов ScreenConnect, использованных через TrustConnect за десять дней.

Связь с Redline и быстрый ребрендинг

Proofpoint с умеренной степенью уверенности связывает автора TrustConnect с экосистемой инфостилера Redline. Телеграм-аккаунт @zacchyy09, указанный на сайте TrustConnect как контакт техподдержки, фигурировал в списке VIP-клиентов Redline, раскрытом в ходе Operation Magnus, совместной операции правоохранительных органов по ликвидации инфраструктуры стилеров Redline и META в октябре 2024 года.

Инфраструктуру TrustConnect частично удалось ликвидировать 17 февраля 2026 года при поддержке отраслевых партнёров. Однако буквально перед публикацией отчёта аналитики Proofpoint обнаружили, что оператор уже развернул параллельную инфраструктуру и тестирует новую версию трояна под названием DocConnect (он же SHIELD OS v1.0). Новая панель управления построена на React и Supabase, вместо WebSocket используется SignalR, а в установщик встроена возможность добавлять PDF-приманки. При этом визуальный стиль нового сайта, по оценке Proofpoint, сохраняет характерный сгенерированный нейросетью почерк.

Почему злоумышленники переключились на RMM

Согласно отчёту Huntress за 2026 год (данные с 4 миллионов конечных точек и 9 миллионов учётных записей), злонамеренное использование RMM-инструментов выросло на 277% за 2025 год и составило 24% всех зафиксированных инцидентов. RMM-софт, привычная часть корпоративной инфраструктуры. Его процессы подписаны, его трафик ожидаем, а его присутствие на машине не вызывает вопросов у службы безопасности.

До сих пор злоумышленники злоупотребляли существующими RMM-продуктами, устанавливали легитимные SimpleHelp, ScreenConnect, NetSupport на скомпрометированные машины. TrustConnect, следующий этап: вместо злоупотребления чужим инструментом преступники создали собственный, который выглядит как легитимный, подписан как легитимный и продаётся как легитимный. По каталогу lolrmm.io, доступных RMM-решений, сотни. Теперь к ним прибавился целый класс поддельных продуктов, неотличимых от настоящих.

Получение EV-сертификатов хакерами, тоже не новость, но обычно сертификаты покупают на чёрном рынке (по данным Intrinsec, цены колеблются от $2 000 до $6 000) или крадут у реальных компаний. Слитая переписка группировки Black Basta показала, что вымогатели платили $4 000–4 500 за EV-сертификаты от SSL.com и GlobalSign. В случае TrustConnect злоумышленники пошли другим путём: они создали компанию, которая выглядит настоящей, и прошли проверку легально. Это гораздо сложнее обнаружить.

Авторы исследования отмечают три тенденции. Ликвидация крупных вредоносных сервисов (Redline, Lumma Stealer, Rhadamanthys) создала ниши, которые быстро занимают новые игроки. Экосистема злоупотребления RMM-инструментами процветает и TrustConnect с его лурами, цепочками заражения и дополнительными инструментами органично в неё вписывается. Оба сайта, TrustConnect и DocConnect, с высокой вероятностью созданы с помощью ИИ, причём новая версия заметно сложнее. Языковые модели позволяют злоумышленникам быстро наращивать масштаб операций.