🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma campanha de malvertising em grande escala ativa desde janeiro de 2026 foi observada visando indivíduos residentes nos EUA que procuram documentos relacionados a impostos para servir instaladores desonestos do ConnectWise ScreenConnect que lançam uma ferramenta chamada HwAudKiller para cegar programas de segurança usando a técnica traga seu próprio driver vulnerável (BYOVD).
“A campanha abusa do Google Ads para servir instaladores desonestos do ScreenConnect (ConnectWise Control), entregando, em última análise, um assassino BYOVD EDR que descarta um driver de kernel para cegar ferramentas de segurança antes de comprometer ainda mais”, disse Anna Pham, pesquisadora da Huntress, em um relatório publicado na semana passada.
O fornecedor de segurança cibernética disse que identificou mais de 60 instâncias de sessões maliciosas do ScreenConnect vinculadas à campanha. A cadeia de ataque se destaca por alguns motivos. Ao contrário das campanhas recentes destacadas pela Microsoft que aproveitam iscas com temas fiscais, a atividade recentemente sinalizada emprega serviços comerciais de camuflagem para evitar a detecção por scanners de segurança e abusa de um driver de áudio Huawei anteriormente não documentado para desarmar soluções de segurança.
Os objectivos exactos da campanha não são actualmente claros; no entanto, em um caso, diz-se que o ator da ameaça aproveitou o acesso para implantar o assassino de detecção e resposta de endpoint (EDR) e, em seguida, despejou credenciais da memória de processo do Serviço de Subsistema de Autoridade de Segurança Local (LSASS), bem como usou ferramentas como NetExec para reconhecimento de rede e movimento lateral.
Essas táticas, de acordo com a Huntress, se alinham ao comportamento pré-ransomware ou do corretor de acesso inicial, sugerindo que o ator da ameaça está procurando implantar ransomware ou monetizar o acesso vendendo-o a outros atores criminosos.
O ataque começa quando os usuários pesquisam termos como “formulário fiscal W2” ou “formulários fiscais W-9 2026” em mecanismos de pesquisa como o Google, induzindo-os a clicar em resultados de pesquisa patrocinados que direcionam os usuários a sites falsos como “bringetax[.]com/humu/” para acionar a entrega do instalador ScreenConnect.
Além do mais, a página de destino é protegida por um Sistema de Distribuição de Tráfego (TDS) baseado em PHP, desenvolvido pela Adspect, um serviço comercial de cloaking, para garantir que uma página benigna seja veiculada em scanners de segurança e sistemas de revisão de anúncios, enquanto apenas vítimas reais veem a carga útil real.
Isto é conseguido gerando uma impressão digital do visitante do site e enviando-a para o backend do Adspect, que então determina a resposta apropriada. Além do Adspect, o “index.php” da página de destino apresenta uma segunda camada de camuflagem desenvolvida por JustCloakIt (JCI) no lado do servidor.
“Os dois serviços de cloaking são empilhados no mesmo index.php – a filtragem do lado do servidor da JCI é executada primeiro, enquanto o Adspect fornece impressão digital JavaScript do lado do cliente como uma segunda camada”, explicou Pham.
As páginas da web levam à distribuição de instaladores do ScreenConnect, que são então usados para implantar várias instâncias de teste no host comprometido. Descobriu-se também que o ator da ameaça abandonou ferramentas adicionais de monitoramento e gerenciamento remoto (RMM), como o FleetDeck Agent, para redundância e garantia de acesso remoto persistente.
A sessão ScreenConnect é aproveitada para descartar um criptografador de vários estágios que atua como um canal para um assassino EDR de codinome HwAudKiller que usa a técnica BYOVD para encerrar processos associados ao Microsoft Defender, Kaspersky e SentinelOne. O driver vulnerável usado no ataque é “HWAuidoOs2Ec.sys”, um driver de kernel legítimo e assinado pela Huawei, projetado para hardware de áudio de laptop.
“O driver encerra o processo de destino no modo kernel, ignorando quaisquer proteções de modo de usuário das quais os produtos de segurança dependem. Como o driver é legitimamente assinado pela Huawei, o Windows o carrega sem reclamar, apesar do Driver Signature Enforcement (DSE)”, observou Huntress.
O criptografador, por sua vez, tenta escapar da detecção alocando 2 GB de memória e preenchendo-o com zeros, e então liberando-o, efetivamente fazendo com que mecanismos antivírus e emuladores falhem devido à alta alocação de recursos.
Atualmente não se sabe quem está por trás da campanha, mas um diretório aberto exposto na infraestrutura controlada pelo agente da ameaça revelou uma página falsa de atualização do Chrome contendo código JavaScript com comentários em russo. Isso faz alusão a um desenvolvedor que fala russo e possui um kit de ferramentas de engenharia social para distribuição de malware.
“Esta campanha ilustra como as ferramentas de commodities reduziram a barreira para ataques sofisticados”, disse Pham. “O ator da ameaça não precisava de explorações personalizadas ou recursos de estado-nação, eles combinaram serviços de cloaking disponíveis comercialmente (Adspect e JustCloakIt), instâncias ScreenConnect de nível gratuito, um criptografador pronto para uso e um driver Huawei assinado com uma fraqueza explorável para construir uma cadeia de eliminação ponta a ponta que vai desde uma pesquisa no Google até a terminação EDR no modo kernel.
"Um padrão consistente acro
“A campanha abusa do Google Ads para servir instaladores desonestos do ScreenConnect (ConnectWise Control), entregando, em última análise, um assassino BYOVD EDR que descarta um driver de kernel para cegar ferramentas de segurança antes de comprometer ainda mais”, disse Anna Pham, pesquisadora da Huntress, em um relatório publicado na semana passada.
O fornecedor de segurança cibernética disse que identificou mais de 60 instâncias de sessões maliciosas do ScreenConnect vinculadas à campanha. A cadeia de ataque se destaca por alguns motivos. Ao contrário das campanhas recentes destacadas pela Microsoft que aproveitam iscas com temas fiscais, a atividade recentemente sinalizada emprega serviços comerciais de camuflagem para evitar a detecção por scanners de segurança e abusa de um driver de áudio Huawei anteriormente não documentado para desarmar soluções de segurança.
Os objectivos exactos da campanha não são actualmente claros; no entanto, em um caso, diz-se que o ator da ameaça aproveitou o acesso para implantar o assassino de detecção e resposta de endpoint (EDR) e, em seguida, despejou credenciais da memória de processo do Serviço de Subsistema de Autoridade de Segurança Local (LSASS), bem como usou ferramentas como NetExec para reconhecimento de rede e movimento lateral.
Essas táticas, de acordo com a Huntress, se alinham ao comportamento pré-ransomware ou do corretor de acesso inicial, sugerindo que o ator da ameaça está procurando implantar ransomware ou monetizar o acesso vendendo-o a outros atores criminosos.
O ataque começa quando os usuários pesquisam termos como “formulário fiscal W2” ou “formulários fiscais W-9 2026” em mecanismos de pesquisa como o Google, induzindo-os a clicar em resultados de pesquisa patrocinados que direcionam os usuários a sites falsos como “bringetax[.]com/humu/” para acionar a entrega do instalador ScreenConnect.
Além do mais, a página de destino é protegida por um Sistema de Distribuição de Tráfego (TDS) baseado em PHP, desenvolvido pela Adspect, um serviço comercial de cloaking, para garantir que uma página benigna seja veiculada em scanners de segurança e sistemas de revisão de anúncios, enquanto apenas vítimas reais veem a carga útil real.
Isto é conseguido gerando uma impressão digital do visitante do site e enviando-a para o backend do Adspect, que então determina a resposta apropriada. Além do Adspect, o “index.php” da página de destino apresenta uma segunda camada de camuflagem desenvolvida por JustCloakIt (JCI) no lado do servidor.
“Os dois serviços de cloaking são empilhados no mesmo index.php – a filtragem do lado do servidor da JCI é executada primeiro, enquanto o Adspect fornece impressão digital JavaScript do lado do cliente como uma segunda camada”, explicou Pham.
As páginas da web levam à distribuição de instaladores do ScreenConnect, que são então usados para implantar várias instâncias de teste no host comprometido. Descobriu-se também que o ator da ameaça abandonou ferramentas adicionais de monitoramento e gerenciamento remoto (RMM), como o FleetDeck Agent, para redundância e garantia de acesso remoto persistente.
A sessão ScreenConnect é aproveitada para descartar um criptografador de vários estágios que atua como um canal para um assassino EDR de codinome HwAudKiller que usa a técnica BYOVD para encerrar processos associados ao Microsoft Defender, Kaspersky e SentinelOne. O driver vulnerável usado no ataque é “HWAuidoOs2Ec.sys”, um driver de kernel legítimo e assinado pela Huawei, projetado para hardware de áudio de laptop.
“O driver encerra o processo de destino no modo kernel, ignorando quaisquer proteções de modo de usuário das quais os produtos de segurança dependem. Como o driver é legitimamente assinado pela Huawei, o Windows o carrega sem reclamar, apesar do Driver Signature Enforcement (DSE)”, observou Huntress.
O criptografador, por sua vez, tenta escapar da detecção alocando 2 GB de memória e preenchendo-o com zeros, e então liberando-o, efetivamente fazendo com que mecanismos antivírus e emuladores falhem devido à alta alocação de recursos.
Atualmente não se sabe quem está por trás da campanha, mas um diretório aberto exposto na infraestrutura controlada pelo agente da ameaça revelou uma página falsa de atualização do Chrome contendo código JavaScript com comentários em russo. Isso faz alusão a um desenvolvedor que fala russo e possui um kit de ferramentas de engenharia social para distribuição de malware.
“Esta campanha ilustra como as ferramentas de commodities reduziram a barreira para ataques sofisticados”, disse Pham. “O ator da ameaça não precisava de explorações personalizadas ou recursos de estado-nação, eles combinaram serviços de cloaking disponíveis comercialmente (Adspect e JustCloakIt), instâncias ScreenConnect de nível gratuito, um criptografador pronto para uso e um driver Huawei assinado com uma fraqueza explorável para construir uma cadeia de eliminação ponta a ponta que vai desde uma pesquisa no Google até a terminação EDR no modo kernel.
"Um padrão consistente acro
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #anúncios #de #pesquisa #fiscal #entregam #malware #screenconnect #usando #driver #huawei #para #desativar #edr
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário