Wprowadzenie do problemu / definicja
W marcu 2026 roku ujawniono kampanię malvertisingową wymierzoną w użytkowników szukających formularzy podatkowych, takich jak W-2 czy W-9. Mechanizm ataku opierał się na sponsorowanych wynikach wyszukiwania, które kierowały ofiary na strony podszywające się pod wiarygodne serwisy, skąd pobierany był fałszywy instalator ConnectWise ScreenConnect.
Po uruchomieniu pliku napastnicy uzyskiwali zdalny dostęp do stacji roboczej, a następnie wdrażali komponenty służące do osłabienia lub całkowitego wyłączenia ochrony endpointu. Kluczową rolę odgrywała tu technika BYOVD, czyli wykorzystanie legalnie podpisanego, ale podatnego sterownika jądra do obchodzenia zabezpieczeń systemu Windows.
W skrócie
- Kampania była aktywna co najmniej od stycznia 2026 roku.
- Atak wykorzystywał reklamy sponsorowane związane z sezonem rozliczeń podatkowych.
- Ofiary pobierały zmodyfikowany instalator ScreenConnect zapewniający zdalny dostęp.
- Następnie wdrażano narzędzie HwAudKiller używające podatnego sterownika Huawei do wyłączania procesów EDR.
- W części incydentów obserwowano dostęp do LSASS, rekonesans sieci i działania typowe dla fazy przedransomware.
Kontekst / historia
Nadużywanie legalnych narzędzi zdalnego dostępu i zarządzania nie jest nowym zjawiskiem. Cyberprzestępcy od lat chętnie sięgają po rozwiązania klasy RMM i remote support, ponieważ ich obecność w środowisku bywa mniej podejrzana niż klasyczne malware, a wdrożenie nie wymaga wykorzystania zaawansowanych exploitów.
W tej kampanii napastnicy połączyli kilka dobrze znanych elementów w jeden skuteczny łańcuch ataku: sponsorowane reklamy, mechanizmy cloakingu, legalne oprogramowanie zdalnego dostępu dostępne w modelu testowym oraz podpisany sterownik jądra zawierający podatność. To pokazuje, iż nowoczesny i groźny scenariusz kompromitacji można zbudować bez użycia zero-day, opierając się na sprytnym zestawieniu legalnych komponentów i technik unikania detekcji.
Analiza techniczna
Łańcuch infekcji zaczynał się od wyszukania formularzy podatkowych. Użytkownik trafiał na sponsorowaną reklamę prowadzącą do domeny podszywającej się pod zaufany serwis. Na stronie działał mechanizm cloakingu, który rozróżniał realne ofiary od botów, skanerów bezpieczeństwa czy systemów recenzji reklam, wykorzystując zarówno logikę po stronie serwera, jak i fingerprinting środowiska po stronie klienta.
Jeśli odwiedzający został uznany za adekwatny cel, witryna dostarczała fałszywy instalator ScreenConnect. Samo narzędzie jest legalne i szeroko stosowane do zdalnego wsparcia, dlatego jego obecność może nie wzbudzić natychmiastowego podejrzenia. W analizowanych przypadkach operatorzy uruchamiali również wiele sesji lub dodatkowe instancje narzędzi zdalnego dostępu, aby utrudnić odzyskanie kontroli nad hostem.
Kolejny etap obejmował wdrożenie wielostopniowego cryptera i loadera. Jedna z zaobserwowanych technik polegała na alokowaniu około 2 GB pamięci, wypełnianiu jej zerami i późniejszym zwalnianiu, co mogło zakłócać działanie emulatorów, sandboxów oraz części silników antywirusowych pracujących w środowiskach z ograniczonymi zasobami.
Najgroźniejszym elementem kampanii był komponent HwAudKiller. Narzędzie wykorzystywało technikę BYOVD i ładowało legalnie podpisany sterownik Huawei HWAuidoOs2Ec.sys, pierwotnie przeznaczony do obsługi audio w laptopach. Po załadowaniu do jądra Windows sterownik mógł zostać nadużyty do kończenia wskazanych procesów ochronnych, w tym komponentów Microsoft Defender, Kaspersky i SentinelOne, z poziomu kernel mode.
Takie podejście pozwalało ominąć część zabezpieczeń działających w user mode bez konieczności łamania mechanizmu wymuszania podpisów sterowników. Po wyłączeniu lub osłabieniu EDR napastnicy mogli przejść do kolejnych działań, takich jak dostęp do pamięci procesu LSASS, pozyskanie poświadczeń, rekonesans sieci i przygotowanie gruntu pod dalszą kompromitację środowiska.
Konsekwencje / ryzyko
Największe ryzyko wynika z połączenia socjotechniki z obejściem zabezpieczeń na poziomie jądra. choćby organizacje korzystające z nowoczesnych rozwiązań EDR mogą utracić widoczność telemetryczną, jeżeli atakujący skutecznie załaduje podpisany, ale podatny sterownik i użyje go do zakończenia procesów bezpieczeństwa.
Dla użytkowników indywidualnych skutki mogą obejmować kradzież danych podatkowych, dokumentów, haseł i dostępu do usług finansowych. W środowiskach firmowych zagrożenie jest znacznie poważniejsze i może prowadzić do przejęcia kont uprzywilejowanych, ruchu bocznego, eksfiltracji danych, wdrożenia ransomware oraz kosztownych przestojów operacyjnych.
Dodatkowym problemem jest niska bariera wejścia dla przestępców. Kampania pokazuje, iż do zbudowania skutecznego kill chainu nie zawsze potrzeba własnego zaawansowanego malware ani ekskluzywnych exploitów. Wystarczy umiejętnie połączyć legalne narzędzia, podatne sterowniki i sprawdzone techniki socjotechniczne.
Rekomendacje
Organizacje powinny ograniczyć możliwość uruchamiania nieautoryzowanych narzędzi zdalnego dostępu. W praktyce oznacza to stosowanie list dozwolonych aplikacji, monitorowanie uruchomień ScreenConnect, AnyDesk, TeamViewer i podobnych narzędzi oraz blokowanie ich poza zatwierdzonymi scenariuszami użycia.
Równie istotna jest kontrola sterowników podatnych na nadużycia. W środowiskach Windows warto egzekwować polityki blokowania znanych podatnych sterowników, wdrażać mechanizmy integralności kodu oraz monitorować zdarzenia związane z instalacją nowych sterowników i nagłym zatrzymaniem procesów ochronnych.
Z perspektywy SOC szczególną uwagę należy zwrócić na następujące sygnały ostrzegawcze:
- uruchomienie ScreenConnect lub innych narzędzi RMM z nietypowych ścieżek,
- wiele nowych instancji zdalnego dostępu pojawiających się w krótkim czasie,
- ładowanie rzadko spotykanych sterowników kernel mode,
- próby dostępu do LSASS,
- nagłe zakończenie procesów antywirusa lub EDR,
- ruch sieciowy związany z domenami podszywającymi się pod serwisy podatkowe.
Po stronie użytkowników końcowych najważniejsze jest ograniczenie zaufania do sponsorowanych wyników wyszukiwania, szczególnie w okresach sezonowych, takich jak rozliczenia podatkowe. Dokumenty i formularze powinny być pobierane wyłącznie z wcześniej zweryfikowanych źródeł, a każde żądanie instalacji narzędzia pomocy zdalnej powinno być traktowane jako potencjalny incydent bezpieczeństwa.
W przypadku podejrzenia kompromitacji rekomendowany plan reakcji powinien obejmować:
- izolację hosta od sieci,
- weryfikację aktywnych sesji zdalnych i zainstalowanych narzędzi RMM,
- analizę załadowanych sterowników,
- sprawdzenie integralności agentów EDR,
- reset poświadczeń użytkownika i kont uprzywilejowanych,
- przegląd prób dostępu do LSASS i oznak ruchu bocznego,
- poszukiwanie dodatkowych mechanizmów trwałości.
Podsumowanie
Opisana kampania to przykład nowoczesnego ataku, w którym połączono reklamy sponsorowane, fałszywe strony podatkowe, legalne narzędzie zdalnego dostępu oraz technikę BYOVD z użyciem podatnego sterownika Huawei. Efektem było szybkie uzyskanie dostępu do hosta i osłabienie mechanizmów ochronnych jeszcze przed pełną realizacją dalszych etapów ataku.
Dla zespołów bezpieczeństwa najważniejsze wnioski są jasne: sponsorowane wyniki wyszukiwania pozostają realnym wektorem dostarczania malware, legalne narzędzia zdalnego dostępu wymagają ścisłego monitorowania, a kontrola sterowników oraz telemetria kernel-mode stają się niezbędnym elementem nowoczesnej ochrony endpointów.
Źródła
- The Hacker News — https://thehackernews.com/2026/03/tax-search-ads-deliver-screenconnect.html
- Huntress — Rogue RMMs: Common Social Engineering Tactics We Saw in 2025 — https://www.huntress.com/blog/rogue-screenconnect-social-engineering-tactics-2025
- ScreenConnect — Free 14-day ScreenConnect Trial — https://www.screenconnect.com/trial
- ConnectWise Documentation — ScreenConnect Remote Access — https://docs.connectwise.com/ScreenConnect_Documentation/Get_started/Browse_by_license/Access_license
- ConnectWise — Trust Center Advisories — https://www.connectwise.com/company/trust/advisories
