Κάθε Απρίλιο, εκατομμύρια Αμερικανοί σπεύδουν να καταθέσουν φόρους πριν από τη λήξη της προθεσμίας — και οι επιτιθέμενοι υπολογίζουν σε αυτό.
Μια μεγάλης κλίμακας εκστρατεία κακόβουλης διαφήμισης, που δραστηριοποιείται τουλάχιστον από τον Ιανουάριο του 2026, εκμεταλλεύεται αυτόν τον επείγοντα χαρακτήρα τοποθετώντας ψεύτικες σελίδες φορολογικών εντύπων μέσω του Google Ads, αναπτύσσοντας τελικά έναν δολοφόνο EDR σε λειτουργία πυρήνα σε μηχανήματα θυμάτων.
Η καμπάνια στόχευε σε άτομα των ΗΠΑ που αναζητούσαν έγγραφα W-2 και W-9, με αδίστακτες σελίδες προορισμού που μιμούνται πύλες συμμόρφωσης με την IRS για να παγιδεύουν υπαλλήλους, ελεύθερους επαγγελματίες και ιδιοκτήτες μικρών επιχειρήσεων κατά τη διάρκεια της περιόδου υποβολής αιτήσεων.
Η επίθεση ξεκινά με μια απλή αναζήτηση. Όταν ένα θύμα πληκτρολογεί “φόρμα W2” στην Google, ένα αποτέλεσμα χορηγίας το οδηγεί στο anukitax[.]com, το οποίο ανακατευθύνει στο bringetax[.]com — η πραγματική σελίδα παράδοσης για ένα απατεώνα πρόγραμμα εγκατάστασης ScreenConnect με το όνομα form_w9.msi.
Το ScreenConnect είναι ένα νόμιμο εργαλείο απομακρυσμένης διαχείρισης, γι’ αυτό και τα θύματα το εγκαθιστούν χωρίς δισταγμό.
Μόλις ενεργοποιηθεί, ο εισβολέας αποκτά πλήρη πρόσβαση με το πληκτρολόγιο στο μηχάνημα μέσω μιας δοκιμαστικής παρουσίας cloud, χωρίς έγκριση επιχείρησης ή επίβλεψη IT.
Οι ερευνητές του Huntress εντόπισαν αυτήν την εκστρατεία κατά τη διάρκεια της ρουτίνας αναδρομικής αναζήτησης απειλών, ανιχνεύοντας πάνω από 60 αδίστακτες συνεδρίες ScreenConnect σε όλη τη βάση πελατών τους.
Αυτό που ξεκίνησε ως ύποπτη δραστηριότητα απομακρυσμένου εργαλείου αποκαλύφθηκε ως μια συντονισμένη, πολλαπλών σταδίων λειτουργία με ένα ωφέλιμο φορτίο βαθιάς στρώσης σχεδιασμένο για να τυφλώνει εντελώς τα εργαλεία ασφαλείας τελικού σημείου.
Ο απώτερος στόχος — με βάση τη συμπεριφορά μετά την πρόσβαση — δείχνει είτε την ανάπτυξη ransomware είτε την αρχική μεσιτεία πρόσβασης.
Αφού εισήλθε μέσω του ScreenConnect, ο εισβολέας ανέπτυξε έναν κρυπτογράφηση πολλαπλών σταδίων που ονομάζεται FatMalloc μαζί με εφεδρικά εργαλεία όπως το FleetDeck, στοιβάζοντας δύο έως τρεις περιπτώσεις αναμετάδοσης ανά κεντρικό υπολογιστή για να επιβιώσει από τη μερική αποκατάσταση.
Το τελικό ωφέλιμο φορτίο, το HwAudKiller, χρησιμοποιεί ένα προηγουμένως μη τεκμηριωμένο πρόγραμμα οδήγησης ήχου Huawei για να σκοτώσει το Windows Defender, το Kaspersky και το SentinelOne από τη λειτουργία πυρήνα.
Μόλις η άμυνα έκλεισε, οι επιτιθέμενοι απέρριψαν τα διαπιστευτήρια LSASS και έτρεξαν το NetExec σε όλο το δίκτυο για να συλλέξουν λογαριασμούς σε κλίμακα – ένα μοτίβο που συνάδει με τη συμπεριφορά πριν από το ransomware.
Πέρα από τα θέλγητρα με φορολογικό θέμα, ο εκτεθειμένος ανοιχτός κατάλογος του ηθοποιού απειλών αποκάλυψε επίσης ένα ψεύτικη σελίδα ενημέρωσης του Google Chrome με σχόλια στη ρωσική γλώσσα JavaScript, που δείχνουν έναν ρωσσόφωνο προγραμματιστή.
Και οι δύο τύποι δέλεαρ τράβηξαν ωφέλιμα φορτία από την ίδια υποδομή κοινής χρήσης αρχείων 4sync, επιβεβαιώνοντας ότι αυτή δεν είναι μια αυτόνομη καμπάνια αλλά μια οργανωμένη επιχείρηση που εκτελεί ταυτόχρονα πολλαπλά μέτωπα κοινωνικής μηχανικής.
Μέσα στο BYOVD EDR Kill Mechanism
Μόλις μπει στο μηχάνημα-στόχο, ο εισβολέας εκτέλεσε το FatMalloc (crypteds.exe) απευθείας από τον κατάλογο εργασίας του ScreenConnect.
Το FatMalloc ανοίγει εκχωρώντας 2 GB μνήμης και γεμίζοντάς το με μηδενικά πριν την απελευθερώσει — ένα τέχνασμα που αναγκάζει τους εξομοιωτές προστασίας από ιούς να λήξουν πριν φτάσουν στο πραγματικό ωφέλιμο φορτίο, καθώς δεν έχουν την πολυτέλεια να προσομοιώσουν μια τόσο τεράστια λειτουργία μνήμης.
.webp.jpeg)
Τα sandboxes με περιορισμένη μνήμη αποτυγχάνουν πλήρως στην κατανομή, με αποτέλεσμα το κακόβουλο λογισμικό να εξέρχεται αθόρυβα χωρίς να αποκαλύπτεται.
Εάν αυτός ο έλεγχος περάσει, το FatMalloc εκτελεί τον κώδικα του κελύφους του έμμεσα χρησιμοποιώντας το API χρονοδιακόπτη πολυμέσων των Windows.
Αντί να δημιουργήσει ένα προφανές νέο νήμα, ο κρυπτογράφος περνά τη διεύθυνση του shellcode ως δεδομένα χρήστη στο timeSetEvent, το οποίο το καλεί μέσω μιας επιστροφής κλήσης μετά από 100 χιλιοστά του δευτερολέπτου.
.webp.jpeg)
Τα εργαλεία ασφαλείας που παρακολουθούν τη δημιουργία απευθείας νημάτων το χάνουν εντελώς, καθώς η εκτέλεση φαίνεται να προέρχεται από το winmm.dll.
Στη συνέχεια, ο κώδικας φλοιού αποκρυπτογραφείται χρησιμοποιώντας μια μέθοδο XOR που βασίζεται σε μπλοκ πριν αποσυμπιέσει το τελικό ωφέλιμο φορτίο HwAudKiller στη μνήμη χρησιμοποιώντας το LZNT1.
Το HwAudKiller ρίχνει το πρόγραμμα οδήγησης ήχου Huawei (HWAuidoOs2Ec.sys) στο δίσκο ως Havoc.sys και το καταχωρεί ως υπηρεσία πυρήνα. Επειδή το πρόγραμμα οδήγησης φέρει έγκυρη ψηφιακή υπογραφή Huawei, τα Windows το φορτώνουν χωρίς παράπονο.
.webp.jpeg)
Στη συνέχεια, το εργαλείο κάνει βρόχο σε όλες τις διεργασίες που εκτελούνται κάθε 100 χιλιοστά του δευτερολέπτου, στέλνοντας αντίστοιχα PID στο πρόγραμμα οδήγησης μέσω του IOCTL 0x2248DC.
Το πρόγραμμα οδήγησης καλεί το ZwTerminateProcess από τη λειτουργία πυρήνα για να σκοτώσει 23 στοχευμένες διαδικασίες ασφαλείας — παρακάμπτοντας όλες τις προστασίες λειτουργίας χρήστη.
Οι χρήστες θα πρέπει να κατεβάζουν φορολογικά έντυπα μόνο απευθείας από το IRS.gov και να αντιμετωπίζουν με προσοχή τα αποτελέσματα αναζήτησης που χορηγούνται για κρατικά έγγραφα.
Οι ομάδες IT θα πρέπει να έχουν εγκριθεί η λίστα επιτρεπόμενων Εργαλεία RMM και επισημάνετε οποιαδήποτε δοκιμαστική παρουσία του ScreenConnect — ιδιαίτερα εκείνα που χρησιμοποιούν μοτίβα αναμετάδοσης instance-* — ως ύποπτα.
Τα αναγνωριστικά συμβάντος Sysmon 6 και 7045 θα πρέπει να ειδοποιούν για τη δημιουργία προγράμματος οδήγησης πυρήνα από καταλόγους TEMP. Οποιοδήποτε ανυπόγραφο δυαδικό αρχείο που εκτελείται από τη διαδρομή εργασίας του ScreenConnect αξίζει άμεσης διερεύνησης.
