Seit Januar 2026 beobachten Sicherheitsforscher eine umfangreiche Malvertising-Kampagne, die gezielt Nutzer in den USA ins Visier nimmt, die in Google nach Steuerformularen wie „W2 tax form“ oder „W‑9 Tax Forms 2026“ suchen. Anstelle legitimer Behörden- oder Softwareseiten erhalten Betroffene manipulierte Anzeigen, die auf gefälschte Download-Portale führen und dort einen präparierten ConnectWise ScreenConnect‑Installer ausliefern. Über diesen wird ein EDR‑Killer namens HwAudKiller eingeschleust, der eine Bring Your Own Vulnerable Driver (BYOVD)-Technik nutzt, um Sicherheitslösungen auf Windows-Systemen auszuhebeln.
Grosse Malvertising-Kampagne ueber Google Ads mit ScreenConnect
Analysen des Sicherheitsunternehmens Huntress zeigen in den betroffenen Infrastrukturen bereits mehr als 60 schädliche ScreenConnect‑Sitzungen, die eindeutig mit dieser Kampagne verknüpft sind. Im Unterschied zu klassischen Steuer‑Phishing-Kampagnen, wie sie etwa von Microsoft und anderen Anbietern beschrieben werden, sticht diese Aktivität durch zwei Merkmale hervor: den systematischen Einsatz kommerzieller Cloaking‑Dienste zur Umgehung von Prüfmechanismen sowie die Verwendung eines bislang nicht dokumentierten, verwundbaren Huawei-Audiotreibers im Rahmen einer BYOVD‑Attacke.
Die finale monetäre Motivation ist noch nicht abschliessend geklärt. In beobachteten Fällen nutzten die Angreifer ihren Zugang jedoch, um einen EDR‑Killer auszuführen, Anmeldedaten aus dem Speicherprozess LSASS zu extrahieren und mit dem Tool NetExec Netzwerkaufklärung und laterale Bewegung zu betreiben. Dieser Technik‑Mix ist typisch für den Pre‑Ransomware‑Phase oder für Initial Access Broker, die Zugänge an Ransomware‑Gruppen weiterverkaufen.
Angriffskette: Von der Google-Suche bis zur Uebernahme des Systems
Manipulierte Steuerformulare und trojanisierter ScreenConnect
Die Angriffskette beginnt mit einer einfachen Google‑Suche nach steuerrelevanten Begriffen. Unter den ersten Treffern erscheinen gesponserte Anzeigen, die auf Domains wie bringetax[.]com/humu/ und ähnliche Varianten zeigen. Dort wird den Nutzern ein vermeintlich offizielles Formular oder ein „Steuer‑Tool“ angeboten. Tatsächlich handelt es sich um einen modifizierten Installer von ConnectWise ScreenConnect, der nach der Ausführung dem Angreifer vollständigen Remotezugriff auf das System verschafft.
Cloaking mit Adspect, JustCloakIt und Traffic Distribution System
Um Sicherheitskontrollen von Google Ads, Sandboxen und Webfiltern zu umgehen, setzen die Betreiber auf eine PHP-basierte Traffic Distribution System (TDS)-Infrastruktur, die mit dem kommerziellen Dienst Adspect integriert ist. Der Webserver erstellt einen digitalen Fingerabdruck des Besuchers (IP‑Adresse, Browser‑Parameter, Verhalten) und übermittelt diese Daten an Adspect. Auf Basis dieser Merkmale entscheidet der Dienst, ob der Besucher die schädliche Download-Seite oder eine harmlos wirkende Tarnseite zu sehen bekommt.
Als zweite Cloaking‑Schicht kommt auf derselben index.php-Seite zusätzlich JustCloakIt (JCI) zum Einsatz. Zuerst filtert JCI serverseitig verdächtige Scanner und Crawler, anschliessend greift die JavaScript‑Fingerprinting‑Logik von Adspect auf Client‑Seite. Diese mehrstufige Verschleierung reduziert die Wahrscheinlichkeit automatischer Erkennung signifikant und spiegelt einen allgemeinen Trend wider: kommerzielle TDS‑ und Cloaking‑Services werden zunehmend zu Standardbausteinen professioneller Malware‑Kampagnen.
Persistenter Remotezugriff durch RMM-Werkzeuge
Nach erfolgreicher Installation des manipulierten ScreenConnect-Pakets legen die Angreifer auf dem kompromittierten Host mehrere ScreenConnect‑Instanzen sowie zusätzliche Remote Monitoring and Management (RMM)-Agenten an, unter anderem FleetDeck Agent. Dadurch entsteht ein redundanter, widerstandsfähiger Fernzugriff: Wird ein Kanal entdeckt und abgeschaltet, bleiben andere aktiv. Auf zahlreichen Hosts wurden innerhalb weniger Stunden zwei bis drei neue ScreenConnect‑Sitzungen und mindestens ein weiterer RMM‑Agent beobachtet, was auf ein ausgeprägtes Interesse der Angreifer an dauerhafter Kontrolle hindeutet.
HwAudKiller und BYOVD: Huawei-Audiotreiber als EDR-Killer
Nach der Etablierung des Zugangs wird über einen mehrstufigen Krypter der eigentliche EDR‑Killer HwAudKiller nachgeladen. Er bedient sich einer BYOVD‑Attacke (Bring Your Own Vulnerable Driver): Ein legitimer, aber verwundbarer Kernel‑Treiber wird in das System eingebracht und seine Schwachstellen werden genutzt, um schädlichen Code mit Kernel‑Rechten auszuführen.
Im vorliegenden Fall nutzen die Angreifer den signierten Huawei-Treiber HWAuidoOs2Ec.sys, der eigentlich für Audiofunktionen von Notebooks vorgesehen ist. Trotz gültiger Signatur enthält der Treiber Schwachstellen, die es ermöglichen, aus dem Kernel‑Kontext heraus Prozesse von Sicherheitslösungen gezielt zu beenden – darunter Produkte wie Microsoft Defender, Kaspersky oder SentinelOne. Da der Treiber ordnungsgemäss signiert ist, wird er von Windows auch bei aktivierter Driver Signature Enforcement (DSE) akzeptiert. Dieser Ansatz illustriert das strukturelle Risiko von BYOVD: Die Sicherheit des Systems hängt nicht nur vom Betriebssystem, sondern auch von der Codequalität aller Drittanbieter‑Treiber ab.
Der eingesetzte Krypter erschwert zudem die statische und dynamische Analyse. Er allokiert rund 2 GB Arbeitsspeicher, füllt diesen mit Nullen und gibt ihn wieder frei. Solche ressourcenintensiven Operationen können Emulatoren und Sandboxen überlasten oder verlangsamen, so dass Sicherheitsprodukte die eigentliche Schadfunktion unter Umständen nicht mehr vollständig untersuchen.
Moegliche Urheber und Einordnung der Bedrohungslage
Die genaue Gruppenzugehörigkeit der Täter ist bislang unklar. In öffentlich zugänglichen Verzeichnissen der Angreifer-Infrastruktur entdeckten Forscher jedoch eine gefälschte Chrome‑Update-Seite, deren JavaScript‑Code Kommentare auf Russisch enthielt. Dies deutet zumindest auf einen russischsprachigen Entwickler hin, der über einen erprobten Fundus an Social-Engineering‑Vorlagen für die Verbreitung von Malware verfügt.
Die Kombination aus Malvertising, TDS‑Cloaking, BYOVD, massivem RMM‑Einsatz und gezieltem EDR‑Killing zeigt eine durchgängig konzipierte Kill Chain, die weitgehend auf frei verfügbaren Werkzeugen und kommerziellen Diensten basiert. Branchenberichte zu Ransomware und Initial‑Access‑Ökosystemen weisen seit Jahren darauf hin, dass diese „Kommoditisierung“ fortgeschrittener Angriffstechniken die Eintrittsbarrieren für neue Gruppen deutlich senkt und komplexe Operationen ermöglicht, ohne dass staatliche Ressourcen erforderlich sind.
Konkrete Schutzmassnahmen gegen Malvertising und BYOVD-Angriffe
Um das Risiko ähnlicher Vorfälle zu reduzieren, sollten Organisationen und Privatanwender mehrere Ebenen der Verteidigung kombinieren:
1. Vorsicht bei gesponserten Suchergebnissen: Downloads von Formularen und Software möglichst direkt über manuell eingegebene, bekannte URLs oder offizielle Portale (z.B. Steuerbehörden, Herstellerseiten) vornehmen. Werbeanzeigen in der Suche sollten grundsätzlich mit Misstrauen betrachtet werden, insbesondere bei „kostenlosen Tools“.
2. Netzwerk- und DNS-Filterung einsetzen: Modernes Web‑Filtering, DNS‑Filter und gegebenenfalls isolierte Browser‑Umgebungen (Browser Isolation) helfen, bekannte TDS- und Malvertising‑Domains zu blockieren oder verdächtigen Traffic einzudämmen.
3. BYOVD-sensible EDR- und NGAV-Loesungen nutzen: Sicherheitsprodukte sollten in der Lage sein, neu geladene Kernel‑Treiber zu überwachen, gegen bekannte Blocklisten verwundbarer Treiber zu prüfen und verdächtige Treiberladungen zu unterbinden. Microsoft, CISA und mehrere Sicherheitsanbieter veröffentlichen regelmässig aktualisierte Listen missbrauchter Treiber, die in Härtungsrichtlinien übernommen werden sollten.
4. RMM- und ScreenConnect-Nutzung regelmaessig auditieren: Unternehmen sollten ein zentrales Inventar aller erlaubten RMM‑Werkzeuge führen und Hosts regelmässig auf unerwartete Agenten oder zusätzliche ScreenConnect‑Instanzen überprüfen. Ein ungewöhnlich hohes Aufkommen neuer Remote‑Sitzungen auf einem einzelnen Host ist ein starkes Indiz für eine Kompromittierung.
5. Benutzer sensibilisieren und Rechte einschränken: Mitarbeitende sollten Schulungen zu Steuer‑Phishing, gefälschten Formularen und gefälschten Browser‑Updates erhalten. Wo möglich, ist die Vergabe lokaler Administratorrechte zu minimieren, um die nachträgliche Installation von RMM-Tools oder Treibern zu erschweren.
Die aktuelle Kampagne verdeutlicht, wie Angreifer heute mit einer Kombination aus Werbemissbrauch, legitimen Remote‑Admin‑Tools und verwundbaren Treibern einen durchgängigen Angriffsweg vom Google‑Suchbegriff bis zur Abschaltung von EDR in der Windows‑Kernel‑Schicht etablieren. Wer die Risiken von BYOVD und Malvertising ernst nimmt, seine Treibersicherheit und RMM‑Kontrollen stärkt und nicht blind auf Anzeigen in der Websuche vertraut, reduziert die Angriffsfläche erheblich und erhöht die eigene Cyber‑Resilienz spürbar.
