Desde enero de 2026 se ha detectado una campaña masiva de malvertising en Google Ads dirigida a usuarios de Estados Unidos que buscan formularios fiscales como “W2 tax form” o “W‑9 Tax Forms 2026”. En lugar de ser redirigidos a fuentes oficiales, las víctimas acceden a anuncios patrocinados que conducen a sitios fraudulentos donde se distribuye un instalador de ScreenConnect manipulado. A través de este software de acceso remoto, los atacantes despliegan el módulo HwAudKiller, diseñado para desactivar soluciones de seguridad mediante un ataque Bring Your Own Vulnerable Driver (BYOVD).
Campaña de malvertising en Google Ads contra usuarios que buscan formularios fiscales
Investigadores de Huntress han identificado más de 60 sesiones maliciosas de ScreenConnect asociadas a esta operación dentro de infraestructuras corporativas. Las víctimas hacen clic en anuncios que apuntan a dominios como bringetax[.]com/humu/ y otros clones, donde se ofrece un supuesto “formulario oficial” o “herramienta de impuestos”. En realidad, se trata de un instalador de ScreenConnect modificado para otorgar control remoto a los atacantes.
Esta campaña se diferencia de otras estafas tributarias habituales no solo por el uso intensivo de Google Ads, sino por dos características clave: el empleo de servicios comerciales de cloaking para evadir los controles de seguridad y la explotación de un driver de audio de Huawei previamente no documentado como vulnerable para neutralizar EDR.
Cloaking avanzado con Adspect y JustCloakIt en la distribución de malware
Los operadores utilizan una Traffic Distribution System (TDS) en PHP integrada con el servicio comercial Adspect. El sitio recopila un “fingerprint” del visitante (IP, navegador, comportamiento) y lo envía a Adspect, que decide si mostrar el contenido malicioso o una página inofensiva. De este modo se supera la moderación de Google Ads y muchos escáneres automatizados.
En el mismo index.php se añade una segunda capa con JustCloakIt (JCI). Primero filtra JCI en servidor y después se aplica el fingerprinting en JavaScript de Adspect. Este doble cloaking ilustra una tendencia consolidada: el uso de TDS y plataformas de cloaking comerciales como componentes estándar en campañas de malvertising avanzadas.
Abuso de ScreenConnect y RMM para persistencia y control remoto
Una vez instalado el ScreenConnect fraudulento, los atacantes despliegan varios instancias de la herramienta y añaden agentes RMM alternativos, como FleetDeck Agent. El objetivo es mantener un acceso remoto resiliente: si se bloquea un canal, otro queda disponible. En numerosos equipos se han observado dos o tres nuevas sesiones de ScreenConnect y un RMM adicional en pocas horas, un patrón típico de actores que priorizan la persistencia.
Del acceso inicial a la fase pre‑ransomware: LSASS, NetExec y movimiento lateral
Tras consolidar el acceso, los atacantes ejecutan un EDR-killer, extraen credenciales de la memoria del proceso LSASS y emplean la herramienta NetExec para reconocimiento de red y movimiento lateral. Este conjunto de técnicas es característico de la fase pre‑ransomware o de brokers de acceso inicial, que posteriormente venden el acceso a operadores de ransomware.
Ataques BYOVD: HwAudKiller y explotación de un driver de audio de Huawei
El componente central de la segunda fase es un crypter en varias etapas que entrega HwAudKiller, un módulo especializado en ataques BYOVD. Esta técnica consiste en cargar en Windows un driver legítimo pero vulnerable y aprovechar sus fallos desde el modo kernel para realizar acciones maliciosas con privilegios elevados.
En esta campaña se emplea el driver HWAuidoOs2Ec.sys, un controlador de audio firmado y distribuido por Huawei para portátiles. A pesar de su firma válida, presenta vulnerabilidades que permiten terminar procesos de productos de seguridad como Microsoft Defender, Kaspersky o SentinelOne directamente desde el kernel. Al estar correctamente firmado, Windows lo carga sin bloquearlo, incluso con Driver Signature Enforcement (DSE) activado, lo que evidencia el riesgo estructural de los ataques BYOVD para el ecosistema de controladores.
Evasión de antivirus mediante consumo masivo de memoria
El crypter que despliega HwAudKiller aplica una táctica adicional de evasión: reserva alrededor de 2 GB de memoria RAM, la rellena con ceros y luego la libera. Esta actividad ruidosa puede provocar que sandboxes y motores de análisis dinámico consuman muchos recursos y reduzcan la profundidad de su inspección, facilitando que el malware pase desapercibido.
Origen probable y profesionalización del ecosistema criminal
En un directorio expuesto de la infraestructura de los atacantes se halló una página falsa de actualización de Chrome con código JavaScript que incluía comentarios en ruso. Esto sugiere la participación de al menos un desarrollador rusohablante con experiencia en plantillas de ingeniería social aplicadas a la distribución de malware.
La combinación de malvertising, TDS comerciales, BYOVD, despliegue masivo de RMM y módulos EDR‑killer conforma una kill chain end‑to‑end basada en herramientas disponibles en el mercado en lugar de exploits exclusivos. Los informes recientes sobre cibercrimen coinciden en que esta “comoditización” de técnicas avanzadas reduce la barrera de entrada y permite a más grupos ejecutar operaciones complejas con recursos limitados.
Medidas de protección frente a malvertising y ataques BYOVD
1. Reducir al mínimo la confianza en anuncios patrocinados, especialmente para descargas de software y documentos. Priorizar siempre el acceso directo a URLs oficiales (administraciones tributarias, fabricantes de software).
2. Implementar filtrado de tráfico y DNS capaz de bloquear dominios de TDS, plataformas de cloaking conocidas y sitios asociados a campañas de malvertising.
3. Desplegar soluciones EDR/NGAV con módulos específicos de supervisión de drivers que detecten la carga de controladores firmados pero sospechosos (protección frente a BYOVD) y apliquen listas de bloqueo de drivers vulnerables.
4. Realizar auditorías periódicas de todas las herramientas RMM y sesiones de ScreenConnect, identificando agentes no autorizados, instancias duplicadas y patrones de uso anómalos en equipos de usuario y servidores.
5. Formar a empleados y usuarios para reconocer publicidad maliciosa e ingeniería social, con énfasis en señuelos relacionados con formularios de impuestos y falsas actualizaciones de navegadores.
Esta campaña de malvertising demuestra cómo la combinación de servicios comerciales de cloaking, herramientas legítimas de administración remota y un driver vulnerable de Huawei permite construir una cadena de ataque completa, desde una simple búsqueda en Google hasta la desactivación de EDR en el kernel de Windows. Revisar las políticas de navegación, fortalecer los controles sobre drivers y RMM, y mantenerse informado sobre técnicas como BYOVD son pasos esenciales para reducir el riesgo de incidentes similares y elevar el nivel global de ciberresiliencia en organizaciones y usuarios finales.
