Một chiến dịch malvertising quy mô lớn hoạt động từ tháng 1 năm 2026 đã được phát hiện nhắm mục tiêu vào các cá nhân ở Hoa Kỳ tìm kiếm tài liệu liên quan đến thuế để phân phối các trình cài đặt giả mạo của ConnectWise ScreenConnect. Các trình cài đặt này thả một công cụ có tên HwAudKiller để làm vô hiệu hóa các chương trình bảo mật bằng kỹ thuật bring your own vulnerable driver (BYOVD).
"Chiến dịch này lạm dụng Google Ads để phân phối các trình cài đặt ScreenConnect (ConnectWise Control) giả mạo, cuối cùng chuyển giao một BYOVD EDR killer để thả một kernel driver nhằm làm vô hiệu hóa các công cụ bảo mật trước khi có sự xâm nhập sâu hơn," nhà nghiên cứu Anna Pham từ Huntress cho biết trong một báo cáo được công bố tuần trước.
Nhà cung cấp an ninh mạng này cho biết họ đã xác định hơn 60 trường hợp phiên ScreenConnect độc hại liên quan đến chiến dịch. Chuỗi tấn công này nổi bật vì một vài lý do. Không giống như các chiến dịch gần đây được Microsoft nhấn mạnh, vốn lợi dụng các chiêu lừa đảo liên quan đến thuế, hoạt động mới được gắn cờ này sử dụng các dịch vụ cloaking thương mại để tránh bị các máy quét bảo mật phát hiện và lạm dụng một driver âm thanh Huawei chưa từng được ghi nhận trước đây để vô hiệu hóa các giải pháp bảo mật.
Mục tiêu chính xác của chiến dịch hiện vẫn chưa rõ ràng; tuy nhiên, trong một trường hợp, kẻ tấn công được cho là đã tận dụng quyền truy cập để triển khai EDR killer và sau đó đánh cắp thông tin xác thực từ bộ nhớ tiến trình Local Security Authority Subsystem Service (LSASS), cũng như sử dụng các công cụ như NetExec để trinh sát mạng và di chuyển ngang.
Những chiến thuật này, theo Huntress, phù hợp với hành vi chuẩn bị cho ransomware hoặc của các nhà môi giới truy cập ban đầu (initial access broker), cho thấy rằng kẻ tấn công đang tìm cách triển khai ransomware hoặc kiếm tiền từ quyền truy cập bằng cách bán nó cho các tác nhân tội phạm khác.
Chi tiết chiến dịch tấn công
Cuộc tấn công bắt đầu khi người dùng tìm kiếm các cụm từ như "W2 tax form" hoặc "W-9 Tax Forms 2026" trên các công cụ tìm kiếm như Google, lừa họ nhấp vào các kết quả tìm kiếm được tài trợ dẫn đến các trang web giả mạo như "bringetax[.]com/humu/" để kích hoạt việc phân phối trình cài đặt ScreenConnect.
Hơn nữa, trang đích được bảo vệ bởi một Traffic Distribution System (TDS) dựa trên PHP được cung cấp bởi Adspect, một dịch vụ cloaking thương mại, để đảm bảo rằng một trang lành tính được hiển thị cho các máy quét bảo mật và hệ thống xem xét quảng cáo, trong khi chỉ các nạn nhân thực sự nhìn thấy payload thực tế.
Điều này đạt được bằng cách tạo dấu vân tay của khách truy cập trang web và gửi nó đến backend của Adspect, sau đó xác định phản hồi thích hợp. Ngoài Adspect, tệp "index.php" của trang đích còn có một lớp cloaking thứ hai được cung cấp bởi JustCloakIt (JCI) ở phía máy chủ.
"Hai dịch vụ cloaking được xếp chồng lên nhau trong cùng tệp index.php—lọc phía máy chủ của JCI chạy trước, trong khi Adspect cung cấp tính năng JavaScript fingerprinting phía máy khách như một lớp thứ hai," Pham giải thích.
Chiến thuật vô hiệu hóa EDR
Các trang web dẫn đến việc phân phối các trình cài đặt ScreenConnect, sau đó được sử dụng để triển khai nhiều phiên bản thử nghiệm trên máy chủ bị xâm nhập. Kẻ tấn công cũng được phát hiện thả các công cụ Remote Monitoring and Management (RMM) bổ sung như FleetDeck Agent để dự phòng và đảm bảo quyền truy cập từ xa liên tục.
Phiên ScreenConnect được tận dụng để thả một crypter đa giai đoạn hoạt động như một cầu nối cho một EDR killer có tên mã HwAudKiller, sử dụng kỹ thuật BYOVD để chấm dứt các tiến trình liên quan đến Microsoft Defender, Kaspersky và SentinelOne. Driver dễ bị tấn công được sử dụng trong cuộc tấn công là "HWAuidoOs2Ec.sys," một kernel driver Huawei hợp pháp, có chữ ký điện tử, được thiết kế cho phần cứng âm thanh máy tính xách tay.
"Driver này chấm dứt tiến trình mục tiêu từ kernel mode, bỏ qua mọi biện pháp bảo vệ usermode mà các sản phẩm bảo mật dựa vào. Bởi vì driver được Huawei ký hợp pháp, Windows tải nó mà không phàn nàn mặc dù có Driver Signature Enforcement (DSE)," Huntress lưu ý.
Crypter này, về phần mình, cố gắng né tránh phát hiện bằng cách cấp phát 2GB bộ nhớ và lấp đầy bằng các số 0, sau đó giải phóng nó, điều này khiến các công cụ antivirus và trình giả lập thất bại do cấp phát tài nguyên quá cao.
Nhận dạng và kết luận
Hiện chưa rõ ai đứng sau chiến dịch này, nhưng một thư mục mở bị lộ trong hạ tầng do kẻ tấn công kiểm soát đã tiết lộ một trang cập nhật Chrome giả mạo chứa mã JavaScript với các bình luận bằng tiếng Nga. Điều này ám chỉ một nhà phát triển nói tiếng Nga đang sở hữu một bộ công cụ social engineering để phân phối mã độc.
"Chiến dịch này minh họa cách các công cụ thương mại đã hạ thấp rào cản cho các cuộc tấn công tinh vi," Pham nói. "Kẻ tấn công không cần các exploit tùy chỉnh hay năng lực cấp nhà nước; chúng đã kết hợp các dịch vụ cloaking có sẵn trên thị trường (Adspect và JustCloakIt), các phiên bản ScreenConnect miễn phí, một crypter có sẵn, và một driver Huawei có chữ ký với một điểm yếu có thể khai thác để xây dựng một chuỗi tấn công end-to-end, từ tìm kiếm trên Google đến việc vô hiệu hóa EDR ở kernel-mode."
"Một mô hình nhất quán trên các máy chủ bị xâm nhập là việc xếp chồng nhanh chóng nhiều công cụ truy cập từ xa. Sau khi relay ScreenConnect giả mạo ban đầu được thiết lập, kẻ tấn công đã triển khai thêm các phiên bản ScreenConnect dùng thử trên cùng một endpoint, đôi khi là hai hoặc ba phiên trong vài giờ, và các công cụ RMM dự phòng như FleetDeck."
