Se ha observado una campaña de publicidad maliciosa a gran escalera activa desde enero de 2026 dirigida a personas con sede en EE. UU. que buscan documentos relacionados con impuestos para servir a instaladores fraudulentos de ConnectWise ScreenConnect que colocan una útil citación HwAudKiller para cegar los programas de seguridad utilizando la técnica “traiga su propio compensador pusilánime” (BYOVD).
“La campaña abusa de Google Ads para ofrecer instaladores maliciosos de ScreenConnect (ConnectWise Control), y en última instancia entrega un desfavorable BYOVD EDR que coloca un compensador de kernel para cegar las herramientas de seguridad antiguamente de comprometerlas aún más”, dijo la investigadora de Huntress, Anna Pham, en un crónica publicado la semana pasada.
El proveedor de ciberseguridad dijo que identificó más de 60 casos de sesiones maliciosas de ScreenConnect vinculadas a la campaña. La condena de ataques se destaca por un par de razones. A diferencia de campañas recientes destacadas por Microsoft que aprovechan señuelos con temas impositivos, la actividad recientemente señalada emplea servicios de encubrimiento comerciales para evitar la detección por escáneres de seguridad y abusa de un compensador de audio de Huawei previamente no documentado para desarmar las soluciones de seguridad.
Los objetivos exactos de la campaña no están claros actualmente; sin bloqueo, en un caso, se dice que el actor de amenazas aprovechó el camino para implementar el desfavorable de detección y respuesta de endpoints (EDR) y luego volcar las credenciales de la memoria de proceso del Servicio del subsistema de la autoridad de seguridad locorregional (LSASS), por otra parte de utilizar herramientas como NetExec para el registro de la red y el movimiento anexo.
Estas tácticas, según Huntress, se alinean con el comportamiento previo al ransomware o del corredor de camino original, lo que sugiere que el actor de la amenaza investigación implementar ransomware o monetizar el camino vendiéndolo a otros actores criminales.
El ataque comienza cuando los usuarios buscan términos como “formulario fiscal W2” o “formulario fiscal W-9 2026” en motores de búsqueda como Google, engañándolos para que hagan clic en resultados de búsqueda patrocinados que dirigen a los usuarios a sitios falsos como “bringetax(.)com/humu/” para activar la entrega del instalador ScreenConnect.
Es más, la página de destino está protegida por un sistema de distribución de tráfico (TDS) basado en PHP impulsado por Adspect, un servicio de encubrimiento comercial, para certificar que se entregue una página benigna a los escáneres de seguridad y los sistemas de revisión de anuncios, mientras que sólo las víctimas reales ven la carga útil existente.
Esto se logra generando una huella digital del visitante del sitio y enviándola al backend de Adspect, que luego determina la respuesta adecuada. Encima de Adspect, el “index.php” de la página de inicio presenta una segunda capa de encubrimiento impulsada por JustCloakIt (JCI) en el banda del servidor.
“Los dos servicios de encubrimiento están apilados en el mismo index.php: el filtrado del banda del servidor de JCI se ejecuta primero, mientras que Adspect proporciona huellas dactilares de JavaScript del banda del cliente como segunda capa”, explicó Pham.
Las páginas web conducen a la distribución de instaladores de ScreenConnect, que luego se utilizan para implementar múltiples instancias de prueba en el host comprometido. Todavía se ha descubierto que el actor de amenazas elimina herramientas adicionales de filial y monitoreo remoto (RMM), como FleetDeck Agent, para obtener pleonasmo y certificar un camino remoto persistente.
La sesión de ScreenConnect se aprovecha para colocar un cifrador de varias etapas que actúa como conducto para un desfavorable de EDR con nombre en código HwAudKiller que utiliza la técnica BYOVD para finalizar procesos asociados con Microsoft Defender, Kaspersky y SentinelOne. El compensador pusilánime utilizado en el ataque es “HWAuidoOs2Ec.sys”, un compensador de kernel de Huawei auténtico y firmado diseñado para hardware de audio de portátiles.
“El compensador finaliza el proceso de destino desde el modo kernel, evitando cualquier protección del modo de heredero en la que se basan los productos de seguridad. Conveniente a que el compensador está firmado legítimamente por Huawei, Windows lo carga sin quejas a pesar de Driver Signature Enforcement (DSE)”, señaló Huntress.
El criptocriptador, por su parte, intenta sortear la detección asignando 2 GB de memoria, llenándola con ceros y luego liberándola, lo que provoca que los motores antivirus y emuladores fallen conveniente a la incorporación asignación de posibles.
Actualmente no se sabe quién está detrás de la campaña, pero un directorio descubierto expuesto en la infraestructura controlada por el actor de amenazas ha revelado una página falsa de puesta al día de Chrome que contiene código JavaScript con comentarios en ruso. Esto alude a un desarrollador de acento rusa en posesión de un conjunto de herramientas de ingeniería social para la distribución de malware.
“Esta campaña ilustra cómo las herramientas basadas en productos básicos han escaso la barrera para ataques sofisticados”, dijo Pham. “El actor de la amenaza no necesitaba exploits personalizados ni capacidades de estado-nación, combinaron servicios de encubrimiento disponibles comercialmente (Adspect y JustCloakIt), instancias ScreenConnect de nivel sin cargo, un cifrador habitable en el mercado y un compensador Huawei firmado con una afición explotable para construir una condena de aniquilación de extremo a extremo que va desde una búsqueda en Google hasta la terminación EDR en modo kernel”.
“Un patrón consistente entre los hosts comprometidos fue el rápido apilamiento de múltiples herramientas de camino remoto. Luego de que se estableció el relé ScreenConnect original, el actor de amenazas implementó instancias de prueba adicionales de ScreenConnect en el mismo punto final, a veces dos o tres en cuestión de horas, y herramientas RMM de respaldo como FleetDeck”.
