З початку 2026 року фахівці фіксують масштабну malvertising‑кампанію в Google Ads, спрямовану на користувачів зі США, які шукають податкові форми на кшталт «W2 tax form» або «W‑9 Tax Forms 2026». Замість офіційних ресурсів вони бачать рекламні оголошення, що перенаправляють на шахрайські сайти з модифікованим установником ConnectWise ScreenConnect. Через нього на систему потрапляє інструмент HwAudKiller, який реалізує BYOVD‑атаку (Bring Your Own Vulnerable Driver) та вимикає засоби захисту.
Malvertising через Google Ads і цілі атакуючих
За даними Huntress, в інфраструктурі постраждалих організацій виявлено понад 60 шкідливих сесій ScreenConnect, пов’язаних із цією malvertising‑кампанією. На відміну від типових фішингових схем із «податковою» тематикою, описаних Microsoft та іншими вендорами, ця активність виділяється двома компонентами: системним використанням комерційних сервісів cloaking і застосуванням раніше недокументованого аудіодрайвера Huawei для нейтралізації безпекових рішень.
Після отримання доступу зловмисники запускають EDR‑killer, зчитують облікові дані з процесу LSASS, а також застосовують NetExec для розвідки мережі та бокового пересування. Такий набір технік характерний для pre‑ransomware‑етапу або діяльності брокерів початкового доступу, які можуть надалі продати доступ операторам програм‑вимагачів.
Ланцюжок атаки: від пошуку податкових форм до захоплення системи
Атака стартує з банального пошукового запиту, пов’язаного з податковою звітністю. У верхній частині результатів Google користувач бачить спонсорований результат, що веде на домени типу bringetax[.]com/humu/ та схожі. На сторінці пропонується «офіційний інструмент» або «форма», але фактично це змінений інсталятор ScreenConnect, налаштований на створення віддаленого доступу для атакуючих.
Cloaking через Adspect та JustCloakIt: прихована malvertising‑інфраструктура
Для маскування шкідливого контенту використовується PHP‑орієнтована Traffic Distribution System (TDS), інтегрована з комерційним сервісом Adspect. Сайт збирає «цифровий відбиток» відвідувача (IP‑адреса, параметри браузера, поведінка) і надсилає його до Adspect. На основі цього сервіс вирішує, чи показувати шкідливе завантаження, чи безпечну сторінку для проходження модерації Google Ads та сканерів безпеки.
На тій самій сторінці index.php застосовується другий рівень захисту — JustCloakIt (JCI). Спочатку працює серверна фільтрація JCI, далі — JavaScript‑фінгерпринтинг від Adspect. Таке «подвійне cloaking» різко знижує ймовірність автоматичного виявлення й демонструє тренд останніх років: комерційні TDS і cloaking‑платформи стають стандартним інструментом просунутих malvertising‑кампаній.
Віддалений доступ і стійке закріплення через RMM
Після встановлення підробленого ScreenConnect оператори атаки розгортають на зараженому хості кілька інстансів цього ПЗ та резервні RMM‑агенти, зокрема FleetDeck Agent. Це створює дубльований віддалений доступ: навіть якщо один канал буде виявлено та заблоковано, залишаються альтернативні механізми керування. На низці систем протягом кількох годин з’являлося по дві‑три нові сесії ScreenConnect і додатковий RMM‑агент, що свідчить про прагнення мінімізувати ризик втрати контролю над середовищем жертви.
HwAudKiller і BYOVD: уразливий драйвер Huawei як зброя проти EDR
Використання драйвера HWAuidoOs2Ec.sys для відключення захисту
Ключовий етап після закріплення — розгортання модуля HwAudKiller, EDR‑killer’а, який реалізує BYOVD‑атаку. У систему завантажується легітимний, підписаний Huawei драйвер HWAuidoOs2Ec.sys, призначений для роботи з аудіопідсистемою ноутбуків. Уразливості в ньому дозволяють зловмисникам із рівня ядра завершувати процеси безпекових продуктів — зокрема Microsoft Defender, Kaspersky, SentinelOne та інших рішень класу EDR/NGAV.
Оскільки драйвер має дійсний цифровий підпис, Windows завантажує його навіть за активованої Driver Signature Enforcement (DSE). Це демонструє системний ризик BYOVD‑атак: реальна стійкість інфраструктури залежить не лише від ОС, а й від якості розробки драйверів сторонніх виробників.
Мультиступеневий криптер та обхід антивірусного аналізу
Для доставки HwAudKiller використовується багатоступеневий криптер, оптимізований для обходу детектування. Один із нетривіальних прийомів — виділення близько 2 ГБ оперативної пам’яті, заповнення її нулями та подальше звільнення. Така «шумова» активність ускладнює роботу антишкідливих двигунів та емуляторів: через аномальне навантаження на ресурси вони можуть припинити глибокий аналіз зразка.
Походження кампанії та еволюція «комерційних» атак
Належність угруповання, що стоїть за операцією, остаточно не встановлена. Проте на одному з відкритих каталогів їхньої інфраструктури дослідники виявили фальшиву сторінку оновлення Chrome з JavaScript‑кодом, де були коментарі російською мовою. Це вказує щонайменше на русломовного розробника та наявність у нього бібліотеки соціально‑інженерних шаблонів для розповсюдження шкідливого ПЗ.
За сукупністю технік — malvertising, TDS і cloaking, BYOVD, масове розгортання RMM та EDR‑killer — кампанія виглядає як повноцінний end‑to‑end kill chain, побудований не на унікальних експлойтах, а на поєднанні комерційних сервісів і відкрито доступних інструментів. Галузеві звіти з кіберзлочинності підтверджують тренд: «коммодитизація» просунутих технік знижує поріг входу й дозволяє більшій кількості груп проводити складні операції без «державного» рівня ресурсів.
Як захиститися від malvertising‑кампаній і BYOVD‑атак
1. Мінімізувати довіру до реклами в пошуковій видачі. Особливо коли йдеться про скачування ПЗ, податкових форм або «оновлень». За можливості вводити прямі URL офіційних сайтів держорганів і розробників ПЗ.
2. Запровадити фільтрацію трафіку та DNS‑фільтрацію. Використовувати рішення, здатні блокувати відомі malvertising‑домени, TDS‑інфраструктуру та підозрілі рекламні редиректи.
3. Використовувати EDR/NGAV із BYOVD‑захистом. Важливими є модулі контролю драйверів, які відстежують завантаження нових, хоч і підписаних, але нетипових драйверів ядра та реагують на підозрілу активність із боку kernel‑модулів.
4. Регулярно аудитувати RMM‑засоби й сесії ScreenConnect. Перевіряти список встановлених агентів віддаленого адміністрування, кількість інстансів на хості та історію підключень, щоб вчасно виявляти несанкціонований доступ.
5. Навчати співробітників розпізнавати malvertising та соціальну інженерію. Окремо відпрацьовувати сценарії з темами податків, банківських операцій та оновлень браузерів, які часто використовуються як «гачок» для завантаження шкідливого ПЗ.
Поточна malvertising‑кампанія демонструє, наскільки небезпечним є поєднання легальних рекламних платформ, RMM‑інструментів і вразливих драйверів у рамках BYOVD‑атаки. Відмова від сліпої довіри до рекламних результатів, посилення контролю над драйверами та інструментами віддаленого доступу, а також системне навчання користувачів здатні суттєво знизити ризики. Організаціям варто вже зараз переглянути свої політики безпеки, впровадити моніторинг BYOVD‑спроб і приділяти увагу malvertising як повноцінному вектору загроз, а не «другорядному» каналу інфікування.
