Riepilogo

Criminali hanno creato una falsa azienda (TrustConnect Software PTY LTD) per ottenere legalmente un certificato EV e firmare malware distribuito come servizio in abbonamento. Le vittime ricevono link che richiedono falsi aggiornamenti (es. Adobe, Zoom), installando eseguibili firmati che si avviano con Windows e impiegano framework RMM per persistenza. La revoca del certificato non invalida retroattivamente i binari già firmati, quindi il rischio permane. La mitigazione prevede: non aggiornare mai app da link, verificare aggiornamenti solo dall’app o dal Microsoft Store, diffidare di link inattesi, isolamento/sandbox per nuove app, e in caso di infezione formattazione e reinstallazione di Windows con scansione preventiva dei backup. Le aziende dovrebbero limitare gli aggiornamenti autonomi degli utenti. Nuovi ceppi come DocConnect sono in sviluppo.

---

Ho analizzato le ultime truffe “MaaS” su Windows: ecco cosa devi sapere

Le campagne di phishing non smettono di evolversi e l’ultima ondata di Malware as a Service (MaaS) mirata agli utenti Windows lo dimostra chiaramente. Microsoft è intervenuta, ma il meccanismo della truffa in sé non può essere bloccato alla radice. Vediamo come funziona e cosa puoi fare per proteggerti.

Truffa di phishing avanzata in stile Malware as a Service

Di solito il phishing arriva via email o SMS, attraverso pop‑up o con il reindirizzamento verso siti fasulli che imitano alla perfezione quelli legittimi. In questo nuovo schema, osservato dagli esperti di Microsoft Defender, i criminali sfruttano applicazioni considerate affidabili per convincere gli utenti a installare malware.

In condizioni normali, Windows bloccherebbe software malevolo privo di un certificato di sicurezza valido. I certificati EV (Extended Validation) sono pensati proprio per tutelare gli utenti dai tentativi di phishing, attestando l’identità di un’azienda o di un brand.

I truffatori, però, hanno messo in piedi un aggiramento estremamente sofisticato. Hanno creato una società di comodo chiamata “TrustConnect Software PTY LTD”, quindi hanno usato strumenti di intelligenza artificiale per fabbricare una falsa identità aziendale: sito web, recensioni, statistiche di utilizzo, e così via. Con questa copertura hanno richiesto un certificato EV. Poiché sulla carta tutto risultava in regola, l’Autorità di Certificazione ha approvato l’emissione.

Il risultato? Il certificato EV è stato acquistato legalmente. Niente furti né certificati contraffatti: con un certificato autentico, Windows si è fidato del codice malevolo al momento dell’installazione.

Se vuoi controllare il certificato di un’app in Windows:

• clic destro sul file eseguibile
• Proprietà → Firme digitali → Dettagli → Visualizza certificato

Purtroppo c’è di peggio. TrustConnect Software PTY LTD si è trasformata in un vero e proprio servizio per “imprenditori” senza scrupoli: un modello malware-as-a-service. Con un abbonamento in criptovaluta di circa 300 dollari al mese, chiunque poteva accedere al malware già firmato digitalmente e a tutto l’occorrente per lanciare campagne di phishing.

Gli utenti ricevevano email con allegati PDF, inviti a riunioni e documenti simili che in realtà erano link malevoli. Il trucco? Cliccando il link appariva una finestra che chiedeva di aggiornare un’app — per esempio “Aggiorna Adobe Acrobat per aprire il PDF” oppure “Aggiorna Zoom per partecipare alla riunione”. Premendo “Aggiorna”, si installava il malware.

File dal nome credibile come adobereader.exe, trustconnectagent.exe, msteams.exe, zomworkspace.clientsetup.exe e invite.exe venivano eseguiti senza problemi, grazie alla firma digitale con certificato EV valido.

Il malware creava perfino cartelle in Program Files e si avviava insieme a Windows come un normale programma, rendendo difficile accorgersi dell’infezione anche per utenti esperti.

Certificato revocato, ma la truffa continua

Verrebbe da pensare che la revoca del certificato EV abbia stroncato l’operazione di TrustConnect. Invece no. La revoca impedisce l’emissione di nuovi certificati per quella specifica entità, ma non ha effetto retroattivo.

Tradotto: tutto ciò che era già stato firmato prima della revoca continua a risultare valido. Per Windows, le applicazioni malevole di TrustConnect appaiono ancora come software legittimo.

Di conseguenza, la responsabilità di difendersi ricade sull’utente finale. Al momento i bersagli principali sono le aziende, ma gli utenti domestici non sono affatto esclusi.

In più, i ricercatori hanno individuato che gli stessi attori dietro TrustConnect stanno lavorando a un nuovo ceppo di malware, denominato “DocConnect”, con modalità operative simili.

La soluzione più sicura? Formattare

Durante i tentativi di bonifica, gli esperti hanno scoperto che il malware di TrustConnect è ancora più complesso del previsto: installa più framework RMM (Remote Monitoring and Management) per mantenere l’accesso remoto ai dispositivi infetti. Rimuoverne uno spesso non basta.

Se sei stato colpito, la via più affidabile è:

• formattare il computer e reinstallare Windows
• seguire poi tutte le pratiche consigliate per mettere in sicurezza account e dispositivi dopo una truffa

Capisco: perdere file è l’ultima cosa che vuoi. Effettua prima un backup, poi — a reinstallazione completata — scansiona il backup con un antivirus prima di ripristinare i dati. La buona notizia è che, trattandosi di un malware mascherato da app Windows, è meno probabile che si annidi in documenti, foto o altri file personali.

Per le aziende, è consigliabile impedire agli utenti di eseguire aggiornamenti delle app in autonomia.

Non aggiornare mai le app tramite un link

TrustConnect non è l’unico gruppo ad aver usato falsi aggiornamenti per diffondere malware; la differenza è che in questo caso c’era un certificato valido a copertura, rendendo più difficile l’individuazione da parte di Windows e degli antivirus.

Se dopo aver cliccato un link “credibile” ti appare una richiesta di aggiornamento:

• fermati subito e non procedere
• apri direttamente l’app sul tuo PC e verifica da lì la presenza di aggiornamenti (di solito nelle impostazioni o nel menu di aiuto)
• se l’app proviene dal Microsoft Store, effettua l’update dal Microsoft Store

Se non ci sono aggiornamenti disponibili, il link è sicuramente una truffa.

Dato che le procedure possono cambiare e potrebbero persino suggerire di scaricare nuove app, valuta di:

• installare nuove applicazioni in sandbox prima di usarle realmente, così da verificarne l’affidabilità

Metti in dubbio i link inaspettati

Le truffe di phishing non scompariranno. La difesa più semplice è coltivare il dubbio davanti a link inattesi. Può capitare di ricevere email che sembrano perfette in ogni dettaglio — persino l’indirizzo del mittente può sembrare autentico. Alcune email sono più facili da smascherare, ma altre sono estremamente convincenti.

La regola d’oro è non cliccare: accedi direttamente al sito del servizio interessato digitando l’indirizzo a mano o tramite segnalibro e verifica da lì. In ambito lavorativo, chiudi il messaggio sospetto e contatta il presunto mittente con un canale separato e affidabile per confermare. Meglio perdere un minuto per verificare che ritrovarsi con un’infezione.

Inoltre:

• non rispondere mai all’email sospetta: così facendo dai solo un segnale di “utente attivo” al truffatore, che potrebbe insistere per convincerti che il messaggio sia legittimo

Nuove varianti di phishing spuntano di continuo — ormai stanno invadendo persino i commenti su LinkedIn. Il modello “malware come servizio” è un’evoluzione inquietante, ma con qualche accortezza si può ancora evitare di cascarci.