Se ha observado una campaña de publicidad maliciosa a gran escala, activa desde enero de 2026, dirigida a personas residentes en EE. UU. que buscan documentos relacionados con los impuestos para ponerlos a disposición de los instaladores deshonestos de ConnectWise ScreenConnect que lanzan una herramienta llamada Asesino de Haud a los programas de seguridad ciegos que utilizan el programa Traiga su propio conductor vulnerable ( POR OVD ) técnica.

«La campaña abusa de Google Ads para ofrecer servicios a instaladores no autorizados de ScreenConnect (ConnectWise Control) y, en última instancia, ofrece un asesino de EDR de BYOVD que deja caer un controlador del núcleo para cegar las herramientas de seguridad antes de comprometer aún más», dijo Anna Pham, investigadora de Huntress dijo en un informe publicado la semana pasada.

El proveedor de ciberseguridad dijo que identificó más de 60 casos de sesiones maliciosas de ScreenConnect vinculadas a la campaña. La cadena de ataque destaca por un par de razones. A diferencia de las campañas recientes resaltado de Microsoft, que aprovecha los señuelos de temática fiscal, la actividad recientemente señalada emplea servicios comerciales de ocultación para evitar que los escáneres de seguridad la detecten y abusa de un controlador de audio Huawei previamente indocumentado para desarmar las soluciones de seguridad.

adsense

Los objetivos exactos de la campaña no están claros actualmente; sin embargo, en un caso, se dice que el actor de la amenaza aprovechó el acceso para implementar el asesino de detección y respuesta de puntos finales (EDR) y, a continuación, volcar las credenciales de la memoria de proceso del Servicio de subsistemas de la autoridad de seguridad local (LSASS), además de utilizar herramientas como NetExec para el reconocimiento de la red y el movimiento lateral.

Estas tácticas, según Huntress, se alinean con el comportamiento anterior al ransomware o de los agentes de acceso inicial, lo que sugiere que el actor de la amenaza busca implementar el ransomware o monetizar el acceso vendiéndolo a otros actores delictivos.

El ataque comienza cuando los usuarios buscan términos como «formulario fiscal W2» o «formularios fiscales W-9 2026» en motores de búsqueda como Google, engañándolos para que hagan clic en los resultados de búsqueda patrocinados que dirigen a los usuarios a sitios falsos como «bringetax [.] com/humu/» para activar la entrega del instalador de ScreenConnect.

Además, la página de destino está protegida por un sistema de distribución de tráfico (TDS) basado en PHP impulsado por Aspecto , un servicio de ocultación comercial, para garantizar que los escáneres de seguridad y los sistemas de revisión de anuncios muestran una página benigna, mientras que solo las víctimas reales ven la carga útil real.

Esto se logra generando una huella digital del visitante del sitio y enviándola al backend de Adspect, que luego determina la respuesta adecuada. Además de Adspect, el archivo "index.php" de la página de inicio incluye una segunda capa de ocultación impulsada por JustCloakIt (JCI) en el lado del servidor.

«Los dos servicios de ocultación se agrupan en el mismo índice.php: el filtrado del lado del servidor de la JCI se ejecuta primero, mientras que Adspect proporciona la toma de huellas digitales de JavaScript del lado del cliente como una segunda capa», explica Pham.

Las páginas web conducen a la distribución de los instaladores de ScreenConnect, que luego se utilizan para implementar varias instancias de prueba en el host comprometido. También se ha descubierto que el autor de la amenaza utiliza herramientas adicionales de supervisión y gestión remotas (RMM), como FleetDeck Agent, para garantizar la redundancia y garantizar un acceso remoto persistente.

La sesión de ScreenConnect se aprovecha para eliminar un cifrador de varias etapas que actúa como conducto para un asesino de EDR con nombre en código HWAUDkiller que utiliza la técnica BYOVD para terminar los procesos asociados con Microsoft Defender, Kaspersky y SentinelOne. El controlador vulnerable utilizado en el ataque es "HWAuidoOs2Ec.sys», un controlador de núcleo legítimo firmado por Huawei diseñado para el hardware de audio de ordenadores portátiles.

«El controlador termina el proceso objetivo desde el modo kernel, eludiendo cualquier protección de modo usuario en la que se basen los productos de seguridad. Como el controlador está firmado legítimamente por Huawei, Windows lo carga sin presentar quejas, a pesar de que el controlador esté firmado por el controlador ( DOSIS )», señaló Huntress.

enlaces

El cifrador, por su parte, intenta evadir la detección asignando 2 GB de memoria y llenándola de ceros, y luego liberándola, lo que provoca que los motores antivirus y los emuladores fallen debido a la alta asignación de recursos.

Actualmente no se sabe quién está detrás de la campaña, pero un directorio abierto expuesto en la infraestructura controlada por los actores de amenazas ha revelado una página de actualización de Chrome falsa que contiene código JavaScript con comentarios en ruso. Se trata de un desarrollador de habla rusa que posee un conjunto de herramientas de ingeniería social para la distribución de malware.

«Esta campaña ilustra cómo las herramientas básicas han reducido la barrera para los ataques sofisticados», dijo Pham. «El actor de amenazas no necesitaba exploits personalizados ni capacidades de estado nacional, sino que combinó los servicios de ocultamiento disponibles en el mercado (Adspect y JustCloakIt), las instancias de ScreenConnect de nivel gratuito, un cifrador estándar y un controlador Huawei firmado con una debilidad explotable para crear una cadena de eliminación de extremo a extremo que iba desde una búsqueda en Google hasta la terminación de EDR en modo kernel».

«Un patrón uniforme en todos los hosts comprometidos fue el rápido apilamiento de varias herramientas de acceso remoto. Una vez que se estableció la red inicial de transmisión fraudulenta de ScreenConnect, el agente de la amenaza desplegó otras instancias de prueba de ScreenConnect en el mismo terminal, a veces dos o tres en cuestión de horas, y realizó copias de seguridad de herramientas de RMM, como FleetDeck».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.