Распространённая налоговая кампания через Google Ads доставляет вредоносные инсталляторы ScreenConnect и инструменты для отключения EDR

Как работает атака

Пользователь в поисках налоговой формы W-2 вводит запрос в Google. Верхняя позиция в результатах часто принадлежит платному объявлению, которое выглядит абсолютно легитимно. Клик по нему запускает цепочку перенаправлений через подставные домены, в конечном итоге ведущую на страницу, предлагающую скачать установщик ScreenConnect. Однако это вредоносная версия, ведущая к trial-инстансу удалённого доступа, контролируемому злоумышленниками. На первом этапе атака полагается на человеческий фактор - спешку и доверие к первым результатам поиска в период жёстких налоговых дедлайнов.

Сложная система сокрытия (cloaking)

Одной из ключевых причин устойчивости кампании стало использование двухкомпонентной системы сокрытия. Она анализирует каждого посетителя и показывает вредоносный контент только реальным жертвам, в то время как сканеры безопасности, боты Google или исследователи видят безобидную страницу. Первый слой основан на сервисе Adspect, который проводит глубокий JavaScript-фингерпринтинг браузера, проверяя сотни параметров - от свойств WebGL и наличия объектов автоматизации до открытых инструментов разработчика. Второй слой использует сервис JustCloakIt (JCI) для серверной фильтрации по IP-адресам и другим признакам. Подобные коммерческие сервисы, открыто рекламирующие отсутствие правил контента, делают борьбу с подобными кампаниями крайне сложной, превращая её в бесконечную игру в кошки-мышки.

Цепочка компрометации: от удалённого доступа к ядру системы

После установки поддельного ScreenConnect злоумышленник получает интерактивный доступ к рабочей станции. Следующий шаг - обход средств защиты. Через сессию ScreenConnect запускается многоступенчатый упаковщик FatMalloc, использующий несколько техник уклонения от анализа. Он выделяет 2 ГБ оперативной памяти, что часто приводит к сбою в песочницах с ограниченными ресурсами, и выполняет свой вредоносный код не напрямую, а через callback-функцию системного API "timeSetEvent". После распаковки в память загружается инструмент HwAudKiller.

Его цель - отключить процессы антивирусов и систем класса EDR. Для этого HwAudKiller использует технику BYOVD (Bring Your Own Vulnerable Driver - использование собственного уязвимого драйвера). Он извлекает из себя и устанавливает легитимный, подписанный цифровой подписью Huawei драйвер звукового устройства "HWAuidoOs2Ec.sys". В этом драйвере обнаружен недостаток: он без какой-либо проверки обрабатывает специальную команду (IOCTL), которая позволяет завершить любой процесс с привилегиями ядра. Это позволяет HwAudKiller безнаказанно останавливать процессы защитных решений Microsoft Defender, Kaspersky и SentinelOne, ослепляя систему безопасности.

Тактика, цели и последствия

Анализ другой инцидента с использованием того же инструментария, но с вариацией HwAudKiller, нацеленной уже и на FortiEDR, раскрывает вероятные конечные цели группы. После отключения защиты злоумышленники немедленно приступают к сбору учётных данных. Они используют стандартный метод дампинга памяти процесса LSASS для извлечения хэшей паролей, а затем с помощью инструмента NetExec проводят массовую атаку на другие компьютеры в сети, пытаясь распространить доступ. Подобные действия характерны либо для предварительного этапа перед развёртыванием программ-вымогателей, либо для брокеров начального доступа, которые продают скомпрометированные сети другим преступным группам.

Эксперты также обнаружили в открытом каталоге злоумышленников шаблон для фишинговой страницы обновления браузера Chrome с комментариями на русском языке в коде. Это указывает на возможное происхождение разработчика и на то, что налоговая кампания - лишь один из сценариев в их арсенале. Оператор адаптирует приманки под то, что вызывает наибольший отклик у пользователей.

Выводы для специалистов по защите

Данная кампания демонстрирует, как современные угрозы среднего уровня комбинируют общедоступные коммерческие услуги, легитимное ПО и уязвимости в подписанных драйверах для создания высокоэффективных цепочек компрометации. Для защиты эксперты рекомендуют усилить мониторинг за появлением неавторизованных экземпляров инструментов удалённого управления, особенно использующих trial-режимы и шаблонные имена хостов. Критически важно отслеживать загрузку драйверов ядра, особенно из временных каталогов пользователей. Повышение осведомлённости пользователей о рисках, связанных с кликами по платной рекламе при поиске официальных документов, также является необходимой мерой в период повышенной киберактивности, привязанной к календарным событиям.

Domains

• anukitax.com
• bjtrck.com
• bringetax.com
• fioclouder.com
• friugrime.com
• gripsmonga.sbs
• instance-gcfox6-relay.screenconnect.com
• instance-itsd8c-relay.screenconnect.com
• instance-sl1mb9-relay.screenconnect.com
• instance-t5sady-relay.screenconnect.com
• instance-vdquvd-relay.screenconnect.com
• instance-zichgu-relay.screenconnect.com
• jcibj.com
• rpc.adspect.net

SHA256

• 033f42102362a8d8d4bdba870599eb5e0c893d8fd8dd4bc2a4b446cbbeb59b99
• 0821661e715fe64bb39f4fece277737a48fd6839edd40ec8a4a39bf04cea8524
• 28278b8c85c832417f9860fe8ea3ddbb9ff1d5860317db4813227a3a52b7c7cc
• 2b409a265f571dccde6ef4860831c1b03d5418d1951f97925315dc5b0891da04
• 5abe477517f51d81061d2e69a9adebdcda80d36667d0afabe103fda4802d33db
• 7509365935fc1bfadba20656698d3a29051031635419043bc2bc45116106e026
• 8a4033425d36cd99fe23e6faef9764fbf555f362ebdb5b72379342fbbe4c5531

JustCloakIt Operator ID

• 507798

JustCloakIt User ID

• fxv76taie649fg9qffuyg34aj

Google Ads Campaign ID

• 23323077598

Google Click Identifier (GCLID)

• CjwKCAiAj8LLBhAkEiwAJjbY7w_77TqEqgwhRsnzoadcub6GumSbP-rr2POpIASkg7p8xdcDH1kcERoCmXUQAvD_BwE