Se ha observado una campaña de publicidad maliciosa a gran escala, activa desde enero de 2026, dirigida a personas ubicadas en los Estados Unidos que buscan documentos relacionados con impuestos y atienden a instaladores fraudulentos de ConnectWise ScreenConnect. El instalador coloca una herramienta llamada HwAudKiller que utiliza técnicas Bring Your Vulnerable Driver (BYOVD) para ocultar los programas de seguridad.
«Esta campaña explota los anuncios de Google para servir un instalador malicioso de ScreenConnect (ConnectWise Control), y en última instancia entrega un asesino BYOVD EDR que elimina los controladores del kernel y ciega las herramientas de seguridad antes de que se comprometan más», dijo la investigadora de Huntres, Anna Pham, en un informe publicado la semana pasada.
El proveedor de ciberseguridad dijo que ha identificado más de 60 sesiones maliciosas de ScreenConnect relacionadas con esta campaña. La cadena de ataques destaca por varios motivos. A diferencia de las campañas recientes destacadas por Microsoft que utilizan señuelos con temas fiscales, la actividad recientemente reportada utiliza servicios de encubrimiento comerciales para evadir la detección por escáneres de seguridad y explota controladores de audio de Huawei previamente no documentados para desarmar las soluciones de seguridad.
El propósito exacto de la campaña no está claro en este momento. Sin embargo, en algunos casos, se dice que los atacantes utilizaron ese acceso para implementar sistemas de detección y respuesta de endpoints (EDR), volcar credenciales de la memoria de proceso del Servicio del subsistema de la autoridad de seguridad local (LSASS) y utilizar herramientas como NetExec para el reconocimiento de la red y el movimiento lateral.
Estas tácticas son consistentes con el comportamiento previo al ransomware y el comportamiento de los corredores de acceso temprano, dijo Huntress, y sugieren que los actores de amenazas buscan monetizar el acceso implementando ransomware o vendiéndolo a otros delincuentes.
El ataque comienza cuando un usuario busca términos como «formulario de impuestos W2» o «formulario de impuestos W-9 2026» en un motor de búsqueda como Google, engaña al usuario para que haga clic en un resultado de búsqueda patrocinado, lo dirige a un sitio falso como «bringetax(.)com/humu/» y activa la entrega del instalador de ScreenConnect.
Además, la página de destino está protegida por un sistema de distribución de tráfico (TDS) basado en PHP impulsado por Adspect, un servicio de encubrimiento comercial, que proporciona una página segura para escáneres de seguridad y sistemas de revisión de anuncios, al tiempo que garantiza que la carga útil real solo sea visible para la víctima real.
Esto se logra generando una huella digital del visitante de su sitio y enviándola al backend de Adspect, que determina la respuesta adecuada. Además de Adspect, la página de inicio ‘index.php’ tiene una segunda capa de encubrimiento impulsada por JustCloakIt (JCI) en el lado del servidor.
«Los dos servicios de encubrimiento están apilados en el mismo index.php. El filtrado del lado del servidor de JCI se realiza primero y Adspect proporciona huellas digitales de JavaScript del lado del cliente como segunda capa», explicó Pham.
Esta página web conduce a la distribución del instalador de ScreenConnect, que se utiliza para implementar múltiples instancias de prueba en hosts comprometidos. También se ha descubierto que el actor de amenazas está eliminando herramientas adicionales de administración y monitoreo remoto (RMM), como FleetDeck Agent, para garantizar la redundancia y el acceso remoto persistente.
Las sesiones de ScreenConnect se utilizan para colocar un cifrador de varias etapas que actúa como conducto para un asesino EDR (con nombre en código HwAudKiller) que utiliza técnicas BYOVD para finalizar procesos relacionados con Microsoft Defender, Kaspersky y SentinelOne. El controlador vulnerable utilizado en el ataque es ‘HWAuidoOs2Ec.sys’. Este es un controlador kernel de Huawei genuino y firmado, diseñado para el hardware de audio de su computadora portátil.
«El controlador finaliza el proceso de destino desde el modo kernel, evitando las protecciones del modo de usuario en las que confían los productos de seguridad. Debido a que el controlador está firmado legalmente por Huawei, Windows lo carga sin problemas a pesar de Driver Signature Enforcement (DSE)», señaló Huntress.
El criptográfico intenta evitar la detección asignando 2 GB de memoria, llenándola con ceros y luego liberándola. Esto efectivamente hace que los motores antivirus y emuladores fallen debido a una gran asignación de recursos.
Actualmente se desconoce quién está detrás de esta campaña, pero un directorio público abierto dentro de la infraestructura controlada por un actor de amenazas reveló una página falsa de actualización de Chrome que contiene código JavaScript con comentarios en ruso. Esto implica que los desarrolladores de habla rusa tienen un conjunto de herramientas de ingeniería social para la distribución de malware.
«Esta campaña muestra cómo las herramientas básicas han reducido la barrera para ataques sofisticados», dijo Pham. «En lugar de requerir exploits personalizados o capacidades de estado-nación, los actores de amenazas combinaron servicios de encubrimiento disponibles en el mercado (Adspect y JustCloakIt), instancias de ScreenConnect de nivel gratuito, criptadores disponibles en el mercado y controladores Huawei firmados con debilidades explotables para construir una cadena de eliminación de extremo a extremo desde la búsqueda de Google hasta la salida de EDR en modo kernel».
«Un patrón consistente entre los hosts comprometidos fue la rápida acumulación de múltiples herramientas de acceso remoto. Después de que se estableció el relé ScreenConnect inicial, los atacantes implementaron instancias de prueba adicionales de ScreenConnect en el mismo punto final, a veces dos o tres en cuestión de horas, e implementaron herramientas RMM de respaldo como FleetDeck».
Source link
