Security

EV-Signed Phishing Campaigns Drop ScreenConnect Backdoors

3 min di lettura

Riepilogo

Microsoft Defender Experts uncovered phishing campaigns that use fake meeting invites, invoices, and spoofed Adobe download pages to trick users into installing malware disguised as trusted workplace apps. The attackers further boost credibility by code-signing the droppers with an Extended Validation (EV) certificate, making the payloads appear more legitimate and increasing the risk of ScreenConnect backdoor infections in organizations where employees routinely install collaboration or document software.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione: perché è importante

Gli attori delle minacce stanno sempre più mimetizzandosi con le operazioni IT legittime distribuendo strumenti Remote Monitoring and Management (RMM) disponibili commercialmente. Questa campagna alza ulteriormente l’asticella usando un branding familiare da “workplace app” e la firma del codice EV per ridurre i sospetti degli utenti e aumentare i tassi di esecuzione—rendendola una via pratica di accesso iniziale nelle aziende in cui gli utenti installano regolarmente software per riunioni e documenti.

Novità / risultati chiave

Microsoft Defender Experts ha osservato più campagne di phishing attribuite a un attore di minaccia non identificato. Le caratteristiche principali includono:

  • Esca su meeting e documenti: le email si spacciavano per inviti a riunioni (Teams/Zoom/Google Meet), fatture, documenti finanziari, offerte e notifiche organizzative.
  • PDF contraffatti e pagine di download spoofate: alcuni messaggi consegnavano PDF falsi con un pulsante “Open in Adobe” che reindirizzava gli utenti a un sito di download Adobe somigliante che richiedeva un “update.”
  • Eseguibili camuffati: i payload erano denominati per assomigliare a installer affidabili, inclusi msteams.exe, adobereader.exe, zoomworkspace.clientsetup.exe, invite.exe e trustconnectagent.exe.
  • Abuso della fiducia tramite firma EV: i dropper erano firmati digitalmente con un certificato EV rilasciato a TrustConnect Software PTY LTD, contribuendo a farli apparire legittimi.
  • Distribuzione di backdoor RMM: l’esecuzione portava all’installazione di strumenti RMM come ScreenConnect, Tactical RMM e Mesh Agent, abilitando accesso remoto persistente.

Come l’intrusione stabilisce la persistenza (punti tecnici salienti)

Nella catena incentrata su ScreenConnect, l’eseguibile “workspace”:

  • Si copiava in C:\Program Files per sembrare un’applicazione installata legittima.
  • Si registrava come servizio Windows per la persistenza all’avvio.
  • Creava un ulteriore autorun tramite chiave Run:
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • Nome valore: TrustConnectAgent
    • Destinazione: C:\Program Files\Adobe Acrobat Reader\AdobeReader.exe
  • Effettuava connessioni in uscita verso l’infrastruttura dell’attaccante (in particolare trustconnectsoftware[.]com).
  • Usava PowerShell codificato per scaricare payload aggiuntivi e invocava msiexec.exe per installare ScreenConnect da file MSI predisposti.

Microsoft ha rilevato casi in cui l’MSI risultava non firmato, seguiti da binari ScreenConnect firmati con certificati revocati, un pattern comunemente associato a distribuzioni malevole o non autorizzate.

Impatto su amministratori IT e utenti finali

  • Gli utenti vengono presi di mira attraverso flussi di lavoro di routine: partecipare a riunioni, rivedere fatture e aggiornare app “non aggiornate”.
  • I team IT e di sicurezza possono vedere l’attività dell’attaccante confondersi con i normali strumenti amministrativi perché gli agent RMM possono assomigliare a soluzioni di supporto remoto approvate.
  • Il rischio aumenta post-compromissione: persistenza tramite servizi/autorun più strumenti RMM può accelerare l’accesso alle credenziali, il controllo remoto e il movimento laterale.

Azioni / prossimi passi

  • Rafforzare i percorsi di installazione software: limitare, dove possibile, le installazioni avviate dagli utenti; applicare l’allowlisting (ad es. WDAC/App Control) per eseguibili “simili a installer”.
  • Verificare l’uso di RMM: censire gli strumenti RMM approvati e bloccare o generare alert su agent non autorizzati (ScreenConnect/Tactical RMM/Mesh) e su creazioni di servizi sospette.
  • Rivedere le decisioni di trust sulla firma del codice: considerare “signed” come un segnale—non una prova. Aggiungere logiche di rilevamento per publisher nuovi/rari e binari EV-signed insoliti.
  • Eseguire hunting su indicatori di persistenza: cercare la chiave Run TrustConnectAgent, servizi inattesi e pattern sospetti di msiexec.exe più PowerShell codificato.
  • Rafforzare la resilienza al phishing: ribadire le linee guida agli utenti sui prompt “update required” provenienti da email/PDF e usare le protezioni di Defender per detonare/ispezionare allegati e link.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Defender Security Research Team
Microsoft DefenderphishingRMMScreenConnectcode signing

Articoli correlati

Security

Compromissione supply chain Trivy: guida Defender

Microsoft ha pubblicato linee guida per il rilevamento, l’indagine e la mitigazione della compromissione della supply chain di Trivy del marzo 2026, che ha interessato il binario Trivy e le GitHub Actions correlate. L’incidente è rilevante perché ha trasformato uno strumento di sicurezza CI/CD affidabile in un mezzo per rubare credenziali da pipeline di build, ambienti cloud e sistemi di sviluppo, continuando però a sembrare operativo normalmente.

Security

{{Governance degli AI agent: allineare gli intenti}}

{{Microsoft delinea un modello di governance per gli AI agent che allinea l’intento dell’utente, dello sviluppatore, basato sul ruolo e dell’organizzazione. Il framework aiuta le aziende a mantenere gli agent utili, sicuri e conformi definendo confini comportamentali e un chiaro ordine di precedenza quando sorgono conflitti.}}

Security

Microsoft Defender predictive shielding ferma ransomware GPO

Microsoft ha descritto un caso reale di ransomware in cui il predictive shielding di Defender ha rilevato l’abuso dannoso di Group Policy Object prima dell’inizio della crittografia. Rafforzando la propagazione dei GPO e interrompendo gli account compromessi, Defender ha bloccato circa il 97% dei tentativi di crittografia e ha impedito che qualsiasi dispositivo venisse cifrato tramite il percorso di distribuzione GPO.

Security

Sicurezza end-to-end per l’AI agentica con Microsoft

Microsoft ha presentato al RSAC 2026 una strategia di sicurezza end-to-end per l’AI agentica, annunciando la disponibilità generale di Agent 365 dal 1° maggio come piattaforma di controllo per osservare, proteggere e governare gli agenti AI su larga scala. La novità conta perché, insieme a strumenti come Security Dashboard for AI ed Entra Internet Access Shadow AI Detection, offre alle aziende maggiore visibilità sui rischi, aiuta a limitare l’accesso e la condivisione eccessiva dei dati e rafforza la difesa contro minacce AI emergenti.

Security

Microsoft Open Source CTI-REALM per AI Detection

Microsoft has open-sourced CTI-REALM, a new benchmark designed to test whether AI agents can perform real detection engineering work from cyber threat intelligence reports, not just answer cybersecurity questions. It matters because it evaluates end-to-end operational tasks across Linux, Azure Kubernetes Service, and Azure cloud environments, giving security teams a more realistic way to measure how useful AI may be for SOC and detection workflows.

Security

Microsoft Zero Trust for AI: workshop e architettura

Microsoft ha presentato Zero Trust for AI, una guida che estende i principi di Zero Trust agli ambienti AI per aiutare le aziende a proteggere modelli, agenti, dati e decisioni automatizzate. La novità più rilevante è l’aggiunta di un pilastro dedicato all’AI nel Zero Trust Workshop, con 700 controlli di sicurezza, 116 gruppi logici e 33 swim lane funzionali: un aggiornamento importante perché offre ai team IT e sicurezza un framework pratico per valutare i rischi dell’AI e applicare controlli coerenti su processi e tecnologie.