С января 2026 года зафиксирована крупная malvertising‑кампания, нацеленная на пользователей из США, которые ищут в Google налоговые формы вроде «W2 tax form» и «W‑9 Tax Forms 2026». Вместо легитимных ресурсов злоумышленники подсовывают спонсируемые объявления, ведущие на поддельные сайты с установщиком удалённого доступа ConnectWise ScreenConnect, через который в систему доставляется инструмент HwAudKiller для отключения средств защиты по схеме Bring Your Own Vulnerable Driver (BYOVD).
Масштабная malvertising‑кампания через Google Ads
По данным Huntress, в инфраструктуре жертв выявлено более 60 вредоносных сессий ScreenConnect, связанных с этой кампанией. В отличие от многих так называемых «налоговых» фишинговых атак, описанных Microsoft и другими вендорами, данная активность примечательна сразу двумя элементами: использованием коммерческих сервисов cloaking для обхода проверок безопасности и задействованием ранее не документированного аудиодрайвера Huawei для нейтрализации систем защиты.
Конечная цель кампании пока не установлена окончательно. Однако в зафиксированных инцидентах злоумышленники после получения доступа запускали EDR‑killer, выгружали учетные данные из памяти процесса LSASS, а также применяли инструмент NetExec для разведки сети и бокового перемещения. Подобный набор техник типичен для pre‑ransomware‑этапа или деятельности брокеров начального доступа, которые затем могут продать доступ группировкам операторов программ‑вымогателей.
Цепочка атаки: от поискового запроса до захвата системы
Атака начинается с поискового запроса пользователя, связанного с налоговой отчетностью. В результатах выдачи Google отображается спонсируемый результат, который ведёт на домены вида bringetax[.]com/humu/ и аналогичные им. На этих ресурсах пользователю предлагается загрузить «официальный инструмент» или «форму», на деле являющийся модифицированным установщиком ScreenConnect.
Cloaking через Adspect и JustCloakIt
Для маскировки вредоносной активности используется PHP‑базированная Traffic Distribution System (TDS), интегрированная с коммерческим сервисом Adspect. Сайт формирует цифровой «отпечаток» посетителя (IP‑адрес, параметры браузера, поведение), отправляет его на сервер Adspect и получает решение — показать ли вредоносный контент или безобидную страницу для прохождения модерации Google Ads и сканеров безопасности.
Дополнительно на той же странице index.php задействован второй слой сокрытия — JustCloakIt (JCI). Сначала работает серверная фильтрация JCI, затем клиентская JavaScript‑fingerprinting от Adspect. Такое «двойное cloaking» существенно снижает вероятность автоматического обнаружения, что подтверждает тенденцию последних лет: коммерческие TDS и cloaking‑платформы становятся типовым элементом продвинутых рекламных кампаний с вредоносным ПО.
Удалённый доступ и закрепление в сети
После установки поддельного ScreenConnect злоумышленники разворачивают на заражённом хосте несколько пробных инстансов этого ПО и резервные RMM‑средства, в частности FleetDeck Agent. Такой подход обеспечивает устойчивый удалённый доступ: даже если один из каналов будет заблокирован, остаются альтернативные. На многих хостах в течение нескольких часов появлялось по две‑три новых сессии ScreenConnect и дополнительный RMM‑агент, что говорит о стремлении нападающих максимально застраховать себя от потери контроля.
BYOVD и драйвер Huawei: как работает HwAudKiller
Ключевым элементом цепочки после закрепления является многоступенчатый криптер, доставляющий модуль HwAudKiller — EDR‑killer, использующий BYOVD‑атаку. В рамках этой техники в систему загружается легитимный, но уязвимый драйвер ядра Windows, после чего злоумышленники эксплуатируют его слабые места для выполнения вредоносных действий с привилегиями ядра.
Отключение EDR из ядра Windows
В рассматриваемой кампании применяется драйвер HWAuidoOs2Ec.sys — подлинный, подписанный Huawei драйвер, предназначенный для работы с аудиоподсистемой ноутбуков. Несмотря на легитимность и корректную цифровую подпись, он содержит уязвимости, которые позволяют атакующим из режима ядра завершать процессы защитных решений, в том числе Microsoft Defender, Kaspersky и SentinelOne.
Благодаря официальной подписи Windows загружает драйвер без возражений, даже при активной Driver Signature Enforcement (DSE). Это иллюстрирует системный риск BYOVD‑атак: защищённость системы напрямую зависит не только от ОС, но и от качества безопасности драйверов сторонних вендоров.
Криптер и обход антивирусов
Многоступенчатый криптер, доставляющий HwAudKiller, использует нетривиальный приём для обхода детектирования. Он выделяет около 2 ГБ оперативной памяти, заполняет её нулями, а затем освобождает. Такая «шумовая» активность усложняет работу антивирусных движков и эмуляторов, которые могут «захлебнуться» в анализе из‑за аномально высоких требований к ресурсам и прекратить детальное исследование образца.
Предполагаемая мотивация и следы разработчиков
Точная принадлежность группировки пока не установлена. Однако на одном из открытых каталогов инфраструктуры злоумышленников исследователи обнаружили поддельную страницу обновления Chrome с JavaScript‑кодом, содержащим комментарии на русском языке. Это указывает по меньшей мере на русскоязычного разработчика, владеющего набором социально‑инженерных шаблонов для распространения вредоносного ПО.
По совокупности техник — использование malvertising, TDS, BYOVD, массовое развёртывание RMM и EDR‑killer — кампания выглядит как хорошо выстроенная end‑to‑end kill chain, построенная не на эксклюзивных эксплойтах, а на комбинации коммерческих сервисов и доступных инструментов. Согласно отраслевым отчётам по киберпреступности, подобный переход к «коммодитизации» продвинутых атак снижает порог входа и позволяет большему числу группировок проводить сложные операции без ресурса, сравнимого с государственным.
Рекомендации по защите от malvertising и BYOVD‑атак
Для снижения риска подобных инцидентов организациям и частным пользователям целесообразно:
1. Ограничить доверие к рекламе в поисковой выдаче, особенно при скачивании ПО и документов. По возможности переходить по прямым URL официальных сайтов (налоговых служб, вендоров ПО).
2. Использовать расширенные механизмы фильтрации трафика и DNS‑фильтрацию, способные блокировать известные TDS и malvertising‑домены.
3. Применять EDR/NGAV‑решения с отдельными модулями контроля драйверов, отслеживающими загрузку новых подписанных, но подозрительных драйверов ядра (BYOVD‑защита).
4. Регулярно проводить аудит установленных RMM‑инструментов и ScreenConnect‑сессий, выявляя несанкционированные агенты и аномальное число инстансов на одном хосте.
5. Обучать сотрудников распознаванию признаков вредоносной рекламы и социально‑инженерных приёмов, связанных с налоговой тематикой и обновлениями браузера.
Наблюдаемая malvertising‑кампания демонстрирует, как сочетание коммерческих cloaking‑сервисов, легальных инструментов удалённого администрирования и уязвимого драйвера Huawei позволяет злоумышленникам выстраивать полный цикл атаки — от простого поискового запроса в Google до отключения EDR в ядре Windows. Повышение прозрачности в цепочке поставок драйверов, развитие BYOVD‑детектирования и отказ от слепого доверия к рекламным результатам поиска — ключевые шаги, которые помогут организациям и частным пользователям снизить риск аналогичных атак и укрепить общий уровень киберустойчивости.
