Security

EV-signerede phishing-apps installerer ScreenConnect

3 min læsning

Resumé

Microsoft Defender Experts har afsløret phishing-kampagner, hvor angribere bruger falske møde- og dokumentapps, spoofede download-sider og EV-signerede installationsfiler til at få ofre til at installere ScreenConnect. Det er vigtigt, fordi misbruget af legitim branding, fjernadministrationsværktøjer og et gyldigt EV-certifikat gør angrebene sværere at opdage og giver en effektiv vej til initial adgang i virksomhedsmiljøer.

Brug for hjælp med Security?Tal med en ekspert

Introduktion: hvorfor det er vigtigt

Trusselsaktører blander sig i stigende grad med legitime IT-operationer ved at anvende kommercielt tilgængelige Remote Monitoring and Management (RMM)-værktøjer. Denne kampagne hæver barren yderligere ved at bruge velkendt branding fra “arbejdspladsapps” og EV code signing til at reducere brugernes mistanke og øge eksekveringsraterne – hvilket gør det til en praktisk vej til initial access i virksomheder, hvor brugere rutinemæssigt installerer møde- og dokumentsoftware.

Hvad er nyt / vigtigste fund

Microsoft Defender Experts observerede flere phishing-kampagner, der tilskrives en uidentificeret trusselsaktør. Nøglekarakteristika omfatter:

  • Møde- og dokumentlokkemidler: Emails udgav sig for at være mødeinvitationer (Teams/Zoom/Google Meet), fakturaer, finansielle dokumenter, tilbud og organisatoriske meddelelser.
  • Forfalskede PDF'er og spoofede download-sider: Nogle beskeder leverede falske PDF'er med en “Open in Adobe”-knap, der omdirigerede brugere til et Adobe-downloadsite, der lignede det rigtige, og som bad om en “update”.
  • Eksekverbare filer i forklædning: Payloads havde navne, der lignede betroede installationsprogrammer, herunder msteams.exe, adobereader.exe, zoomworkspace.clientsetup.exe, invite.exe og trustconnectagent.exe.
  • Misbrug af tillid via EV-signering: Dropperne var digitalt signeret med et EV-certifikat udstedt til TrustConnect Software PTY LTD, hvilket hjalp dem med at fremstå legitime.
  • Implementering af RMM-bagdøre: Eksekvering førte til installation af RMM-værktøjer som ScreenConnect, Tactical RMM og Mesh Agent, hvilket muliggjorde vedvarende fjernadgang.

Sådan etablerer indtrængningen persistence (tekniske højdepunkter)

I den ScreenConnect-fokuserede kæde gjorde “workspace”-eksekverbaren følgende:

  • Kopierede sig selv til C:\Program Files for at ligne en legitim installeret applikation.
  • Registrerede sig selv som en Windows service for startup persistence.
  • Oprettede yderligere en autorun via Run key:
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • Værdinavn: TrustConnectAgent
    • Mål: C:\Program Files\Adobe Acrobat Reader\AdobeReader.exe
  • Oprettede udgående forbindelse til angriberinfrastruktur (især trustconnectsoftware[.]com).
  • Brugte encoded PowerShell til at downloade yderligere payloads og kaldte msiexec.exe for at installere ScreenConnect fra klargjorte MSI-filer.

Microsoft bemærkede tilfælde, hvor MSI'en så ud til at være usigneret, efterfulgt af ScreenConnect-binærfiler signeret med tilbagekaldte certifikater, et mønster der ofte forbindes med ondsindet eller uautoriseret implementering.

Konsekvenser for IT-administratorer og slutbrugere

  • Brugere rammes gennem rutineprægede arbejdsgange: deltagelse i møder, gennemgang af fakturaer og opdatering af “forældede” apps.
  • IT- og sikkerhedsteams kan opleve, at angriberaktivitet flyder sammen med normalt admin-værktøj, fordi RMM-agenter kan ligne godkendt fjernsupport.
  • Risikoen stiger efter kompromittering: persistence via services/autoruns samt RMM-værktøjer kan accelerere credential access, fjernstyring og lateral movement.

Handlinger / næste skridt

  • Hærd softwareinstallationsstier: begræns brugerinitierede installationer, hvor det er muligt; håndhæv allowlisting (f.eks. WDAC/App Control) for “installer-lignende” eksekverbare filer.
  • Auditer brug af RMM: opgør godkendte RMM-værktøjer og blokér eller alarmer om uautoriserede agenter (ScreenConnect/Tactical RMM/Mesh) og mistænkelig oprettelse af services.
  • Gennemgå tillidsbeslutninger for code signing: behandl “signeret” som et signal – ikke som bevis. Tilføj detektionslogik for nye/sjældne udgivere og usædvanlige EV-signerede binærfiler.
  • Jagt på persistence-indikatorer: se efter TrustConnectAgent Run key, uventede services og mistænkelige mønstre med msiexec.exe samt encoded PowerShell.
  • Styrk modstandsdygtigheden mod phishing: forstærk brugervejledning omkring prompts om “update required” fra email/PDF'er, og brug Defender-beskyttelser til at detonere/inspektere vedhæftede filer og links.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Defender Security Research Team
Microsoft DefenderphishingRMMScreenConnectcode signing

Relaterede indlæg

Security

Trivy supply chain compromise: Defender-guide

Microsoft har udgivet vejledning til detektion, undersøgelse og afhjælpning af Trivy supply chain compromise i marts 2026, som påvirkede Trivy-binæren og relaterede GitHub Actions. Hændelsen er vigtig, fordi den gjorde betroet CI/CD-sikkerhedsværktøj til et våben for at stjæle legitimationsoplysninger fra build-pipelines, cloud-miljøer og udviklersystemer, mens det så ud til at køre normalt.

Security

AI-agentstyring: Afstemning af intention for sikkerhed

Microsoft skitserer en styringsmodel for AI-agenter, der afstemmer bruger-, udvikler-, rollebaseret og organisatorisk intention. Rammeværket hjælper virksomheder med at holde agenter nyttige, sikre og compliant ved at definere adfærdsgrænser og en klar rækkefølge, når konflikter opstår.

Security

Microsoft Defender predictive shielding stopper GPO-ransomware

Microsoft beskrev en reel ransomware-sag, hvor Defenders predictive shielding opdagede ondsindet misbrug af Group Policy Object (GPO), før krypteringen begyndte. Ved at hærdne GPO-udrulning og afbryde kompromitterede konti blokerede Defender cirka 97 % af de forsøgte krypteringsaktiviteter og forhindrede, at nogen enheder blev krypteret via GPO-leveringsvejen.

Security

Microsoft sikkerhed til agentic AI på RSAC 2026

Microsoft præsenterede på RSAC 2026 en samlet sikkerhedsstrategi for agentic AI og annoncerede, at Agent 365 bliver generelt tilgængelig 1. maj som et kontrolplan til at overvåge, beskytte og styre AI-agenter i stor skala. Samtidig udvider virksomheden synligheden i AI-risici med nye og kommende værktøjer som Security Dashboard for AI, Shadow AI Detection i Entra og forbedret Intune-appinventar, hvilket er vigtigt for virksomheder, der vil bruge AI sikkert uden at miste kontrol over data, identiteter og skygge-IT.

Security

Microsoft CTI-REALM benchmark til AI detection engineering

Microsoft har lanceret CTI-REALM, en open-source benchmark, der måler om AI-agenter faktisk kan udføre detection engineering fra ende til anden ud fra threat intelligence-rapporter frem for blot at svare på sikkerhedsspørgsmål. Det er vigtigt for SOC- og sikkerhedsteams, fordi benchmarken tester realistiske workflows, værktøjer og mellemtrin på tværs af Linux, AKS og Azure, hvilket kan give et mere retvisende billede af, hvor moden AI er til operationelt sikkerhedsarbejde.

Security

Zero Trust for AI: Microsofts nye sikkerhedsmodel

Microsoft har lanceret Zero Trust for AI, som overfører de velkendte principper om eksplicit verifikation, mindst mulige privilegier og antagelse om brud til AI-miljøer med modeller, agenter og datakilder. Samtidig udvider virksomheden sin Zero Trust Workshop med en ny AI-søjle og opdaterede vurderingsværktøjer, så organisationer mere systematisk kan identificere og håndtere AI-specifikke trusler som prompt injection og data poisoning. Det er vigtigt, fordi virksomheder får en konkret ramme til at gøre AI-udrulning mere sikker og moden på tværs af IT, sikkerhed og forretning.