Campaña de malware en anuncios de búsqueda fiscal utiliza controlador de Huawei
Publicado el
Introducción
Desde enero de 2026, se ha identificado una amplia campaña de malvertising que afecta a individuos en Estados Unidos que buscan documentos relacionados con impuestos. Esta actividad maliciosa distribuye instaladores fraudulentos para ConnectWise ScreenConnect, que a su vez despliega una herramienta denominada HwAudKiller para desactivar programas de seguridad mediante la técnica conocida como Bring Your Own Vulnerable Driver (BYOVD).
Detalles de la campaña
Según un informe publicado por la investigadora de Huntress, Anna Pham, la campaña utiliza Google Ads para difundir instaladores fraudulentos de ScreenConnect, lo que lleva a la instalación de un controlador en el núcleo del sistema que desactiva herramientas de detección de amenazas antes de que se produzcan compromisos adicionales. Se han documentado más de 60 sesiones maliciosas de ScreenConnect vinculadas a esta campaña.
Tácticas de ocultamiento
Lo que distingue esta campaña de otras es su uso de servicios de cloaking comerciales para evitar la detección. A diferencia de campañas recientes que emplean señuelos relacionados con impuestos, esta actividad abusa de un controlador de audio de Huawei que no había sido documentado previamente para desactivar las soluciones de seguridad. Aunque los objetivos exactos de la campaña no están claros, se ha observado que el actor malicioso aprovecha el acceso para desplegar el EDR killer y extraer credenciales de la memoria del proceso Local Security Authority Subsystem Service (LSASS), utilizando herramientas como NetExec para la exploración de redes y movimientos laterales.
Estas tácticas son indicativas de comportamientos asociados a pre-ransomware o brokers de acceso inicial, lo que sugiere que el actor podría estar buscando desplegar ransomware o monetizar el acceso vendiéndolo a otros actores criminales.
La cadena de ataque
La cadena de ataque inicia cuando los usuarios buscan términos como "W2 tax form" o "W-9 Tax Forms 2026" en motores de búsqueda. Esto engaña a las víctimas para que hagan clic en resultados patrocinados que las redirigen a sitios falsos como "bringetax[.]com/humu/", donde se activa la entrega del instalador de ScreenConnect. La página de destino está protegida por un sistema de Traffic Distribution System (TDS) basado en PHP, alimentado por Adspect, que garantiza que una página benigna se sirva a los escáneres de seguridad, mientras que solo las verdaderas víctimas ven el contenido malicioso. Esta técnica incluye la generación de una huella digital del visitante, que se envía al backend de Adspect para determinar la respuesta adecuada.
Además de Adspect, la página de destino cuenta con una segunda capa de cloaking proporcionada por JustCloakIt (JCI) en el lado del servidor.
Herramientas utilizadas
Los instaladores de ScreenConnect conducen al despliegue de múltiples instancias de prueba en el host comprometido. Se ha descubierto que el actor malicioso también instala herramientas adicionales de Remote Monitoring and Management (RMM) como FleetDeck Agent para asegurar un acceso remoto persistente. La sesión de ScreenConnect se utiliza para desplegar un crypter de múltiples etapas que actúa como un conducto para un EDR killer denominado HwAudKiller, que utiliza la técnica BYOVD para terminar procesos relacionados con Microsoft Defender, Kaspersky y SentinelOne.
El controlador vulnerable utilizado en el ataque es HWAuidoOs2Ec.sys, un controlador de kernel legítimo y firmado de Huawei, diseñado para hardware de audio de portátiles. Este controlador termina el proceso objetivo desde el modo kernel, eludiendo las protecciones que los productos de seguridad utilizan. Dado que el controlador está legítimamente firmado por Huawei, Windows lo carga sin objeciones, a pesar de la Driver Signature Enforcement (DSE).
Conclusión
Aunque no se conoce la identidad del responsable de la campaña, una carpeta abierta en la infraestructura controlada por el actor malicioso ha revelado una página de actualización falsa de Chrome que contiene código JavaScript con comentarios en ruso, sugiriendo la participación de un desarrollador de habla rusa con un conjunto de herramientas de ingeniería social para la distribución de malware.
Este caso ilustra cómo las herramientas comerciales han reducido la barrera para ataques sofisticados. El actor no necesitó exploits personalizados ni capacidades de estado-nación; combinó servicios de cloaking disponibles comercialmente, instancias de ScreenConnect de bajo costo, un crypter estándar y un controlador de Huawei firmado con una vulnerabilidad explotable para crear una cadena de ataque completa que va desde una búsqueda en Google hasta la terminación del EDR en modo kernel.