Se ha observado una campaña de publicidad maliciosa a gran escala activa desde enero de 2026 dirigida a personas con sede en EE. UU. que buscan documentos relacionados con impuestos para servir a instaladores fraudulentos de ConnectWise ScreenConnect que colocan una herramienta llamada HwAudKiller para cegar los programas de seguridad utilizando la técnica «traiga su propio controlador vulnerable» (BYOVD).
«La campaña abusa de Google Ads para ofrecer instaladores maliciosos de ScreenConnect (ConnectWise Control), y en última instancia entrega un asesino BYOVD EDR que coloca un controlador de kernel para cegar las herramientas de seguridad antes de comprometerlas aún más», dijo la investigadora de Huntress, Anna Pham, en un informe publicado la semana pasada.
El proveedor de ciberseguridad dijo que identificó más de 60 casos de sesiones maliciosas de ScreenConnect vinculadas a la campaña. La cadena de ataques se destaca por un par de razones. A diferencia de campañas recientes destacadas por Microsoft que aprovechan señuelos con temas impositivos, la actividad recientemente señalada emplea servicios de encubrimiento comerciales para evitar la detección por escáneres de seguridad y abusa de un controlador de audio de Huawei previamente no documentado para desarmar las soluciones de seguridad.
Los objetivos exactos de la campaña no están claros actualmente; sin embargo, en un caso, se dice que el actor de amenazas aprovechó el acceso para implementar el asesino de detección y respuesta de endpoints (EDR) y luego volcar las credenciales de la memoria de proceso del Servicio del subsistema de la autoridad de seguridad local (LSASS), además de utilizar herramientas como NetExec para el reconocimiento de la red y el movimiento lateral.
Estas tácticas, según Huntress, se alinean con el comportamiento previo al ransomware o del corredor de acceso inicial, lo que sugiere que el actor de la amenaza busca implementar ransomware o monetizar el acceso vendiéndolo a otros actores criminales.
El ataque comienza cuando los usuarios buscan términos como «formulario fiscal W2» o «formulario fiscal W-9 2026» en motores de búsqueda como Google, engañándolos para que hagan clic en resultados de búsqueda patrocinados que dirigen a los usuarios a sitios falsos como «bringetax(.)com/humu/» para activar la entrega del instalador ScreenConnect.
Es más, la página de destino está protegida por un sistema de distribución de tráfico (TDS) basado en PHP impulsado por Adspect, un servicio de encubrimiento comercial, para garantizar que se entregue una página benigna a los escáneres de seguridad y los sistemas de revisión de anuncios, mientras que sólo las víctimas reales ven la carga útil real.
Esto se logra generando una huella digital del visitante del sitio y enviándola al backend de Adspect, que luego determina la respuesta adecuada. Además de Adspect, el «index.php» de la página de inicio presenta una segunda capa de encubrimiento impulsada por JustCloakIt (JCI) en el lado del servidor.
«Los dos servicios de encubrimiento están apilados en el mismo index.php: el filtrado del lado del servidor de JCI se ejecuta primero, mientras que Adspect proporciona huellas dactilares de JavaScript del lado del cliente como segunda capa», explicó Pham.
Las páginas web conducen a la distribución de instaladores de ScreenConnect, que luego se utilizan para implementar múltiples instancias de prueba en el host comprometido. También se ha descubierto que el actor de amenazas elimina herramientas adicionales de administración y monitoreo remoto (RMM), como FleetDeck Agent, para lograr redundancia y garantizar un acceso remoto persistente.
La sesión de ScreenConnect se aprovecha para colocar un cifrador de varias etapas que actúa como conducto para un asesino de EDR con nombre en código HwAudKiller que utiliza la técnica BYOVD para finalizar procesos asociados con Microsoft Defender, Kaspersky y SentinelOne. El controlador vulnerable utilizado en el ataque es «HWAuidoOs2Ec.sys», un controlador de kernel de Huawei legítimo y firmado diseñado para hardware de audio de portátiles.
«El controlador finaliza el proceso de destino desde el modo kernel, evitando cualquier protección del modo de usuario en la que se basan los productos de seguridad. Debido a que el controlador está firmado legítimamente por Huawei, Windows lo carga sin quejas a pesar de Driver Signature Enforcement (DSE)», señaló Huntress.
El criptocriptador, por su parte, intenta evadir la detección asignando 2 GB de memoria, llenándola con ceros y luego liberándola, lo que provoca que los motores antivirus y emuladores fallen debido a la alta asignación de recursos.
Actualmente no se sabe quién está detrás de la campaña, pero un directorio abierto expuesto en la infraestructura controlada por el actor de amenazas ha revelado una página falsa de actualización de Chrome que contiene código JavaScript con comentarios en ruso. Esto alude a un desarrollador de habla rusa en posesión de un conjunto de herramientas de ingeniería social para la distribución de malware.
«Esta campaña ilustra cómo las herramientas basadas en productos básicos han reducido la barrera para ataques sofisticados», dijo Pham. «El actor de la amenaza no necesitaba exploits personalizados ni capacidades de estado-nación, combinaron servicios de encubrimiento disponibles comercialmente (Adspect y JustCloakIt), instancias ScreenConnect de nivel gratuito, un cifrador disponible en el mercado y un controlador Huawei firmado con una debilidad explotable para construir una cadena de eliminación de extremo a extremo que va desde una búsqueda en Google hasta la terminación EDR en modo kernel».
«Un patrón consistente entre los hosts comprometidos fue el rápido apilamiento de múltiples herramientas de acceso remoto. Después de que se estableció el relé ScreenConnect inicial, el actor de amenazas implementó instancias de prueba adicionales de ScreenConnect en el mismo punto final, a veces dos o tres en cuestión de horas, y herramientas RMM de respaldo como FleetDeck».