Operação ativa desde janeiro de 2026 usa anúncios de busca sobre impostos, camadas de cloaking, RMM redundante e técnica BYOVD para encerrar ferramentas de segurança no núcleo do Windows.
| Componente | Instaladores falsos do ConnectWise ScreenConnect, ferramenta HwAudKiller, driver assinado HWAuidoOs2Ec.sys da Huawei e RMM adicional FleetDeck Agent. |
| Vetor | Anúncios no Google direcionados a buscas por documentos fiscais levam usuários dos Estados Unidos a páginas com cloaking antes da entrega do instalador malicioso. |
| Impacto | Sessões remotas não autorizadas, implantação de ferramenta BYOVD para encerrar Microsoft Defender, Kaspersky e SentinelOne, e em ao menos um caso coleta de credenciais da memória do LSASS. |
| Prioridade | Auditar instalações recentes de ScreenConnect e RMM, isolar endpoints com sessões suspeitas, investigar carregamento do driver Huawei e revisar eventos de despejo de memória do LSASS. |
| Artefatos | HwAudKiller, HWAuidoOs2Ec.sys, index.php, Adspect, JustCloakIt, FleetDeck Agent, múltiplas instâncias de teste do ScreenConnect e uso observado de NetExec. |
| Mitigação | Restringir RMM não autorizado, bloquear execução de instaladores não aprovados, monitorar drivers vulneráveis carregados no núcleo e validar controles contra BYOVD. |
Uma campanha de publicidade maliciosa ativa desde janeiro de 2026 foi observada explorando o período de declaração de impostos nos Estados Unidos para direcionar usuários que pesquisam documentos fiscais. O fluxo começa em anúncios de busca e conduz a páginas que filtram visitantes antes de entregar instaladores adulterados do ConnectWise ScreenConnect. O objetivo imediato é estabelecer acesso remoto por uma ferramenta legítima de administração, reduzindo atrito operacional para o operador e dificultando a distinção inicial entre suporte remoto autorizado e sessão abusiva.
A cadeia se destaca pelo uso combinado de cloaking comercial, RMM redundante, um crypter em múltiplos estágios e uma ferramenta chamada HwAudKiller. Essa ferramenta usa a técnica bring your own vulnerable driver, ou BYOVD, para carregar o driver assinado HWAuidoOs2Ec.sys, originalmente associado a hardware de áudio da Huawei. A partir do modo núcleo, o driver é usado para encerrar processos de produtos de segurança, incluindo Microsoft Defender, Kaspersky e SentinelOne. O uso de um driver legítimo assinado aumenta o risco porque o Windows aceita o carregamento mesmo com imposição de assinatura de driver, enquanto a ação real passa a ocorrer em uma camada abaixo das proteções comuns de modo usuário.
O caminho de entrega começa com anúncios relacionados a temas fiscais. A página de destino não serve o mesmo conteúdo para todos os visitantes: ela combina filtragem no lado servidor com identificação no lado cliente. O arquivo index.php executa primeiro uma camada associada ao JustCloakIt, enquanto o Adspect acrescenta uma etapa de fingerprinting por JavaScript e consulta de decisão em backend. Com isso, scanners, revisores de anúncio e ambientes automatizados tendem a receber uma página benigna, enquanto visitantes considerados reais recebem o fluxo que leva ao instalador falso. Esse desenho reduz a visibilidade para defesas baseadas apenas em reputação de URL ou análise automatizada de página inicial.
Depois que o instalador falso é executado, a sessão remota do ScreenConnect passa a ser o canal de controle. Foram identificadas mais de 60 instâncias de sessões maliciosas ligadas à campanha, com um padrão de empilhamento rápido de ferramentas de acesso remoto. O operador não depende de uma única instalação: após o primeiro relay, ele adiciona outras instâncias de teste do ScreenConnect no mesmo endpoint e também implanta FleetDeck Agent como alternativa de acesso. Em seguida, a sessão é usada para soltar um crypter que conduz à execução do HwAudKiller. O crypter tenta dificultar análise ao reservar cerca de 2 GB de memória, preenchê-los com zeros e liberar o bloco, comportamento que pode degradar emuladores e mecanismos antivírus com limites de recurso.
O estágio de desativação de EDR depende do driver HWAuidoOs2Ec.sys. Por executar a terminação de processos no modo núcleo, o driver contorna proteções que operam apenas em modo usuário e permite atingir processos de segurança de forma mais direta. Em um incidente observado, após obter acesso remoto, o operador implantou a ferramenta de desativação, coletou credenciais da memória do processo LSASS e usou NetExec para reconhecimento de rede e movimentação lateral. Esses procedimentos são compatíveis com preparação para ransomware ou monetização de acesso por corretor de acesso inicial, mas o objetivo final da campanha não foi confirmado de forma conclusiva.
A superfície principal está em endpoints Windows de usuários que acessam resultados patrocinados relacionados a documentos de impostos e executam instaladores apresentados como ScreenConnect. A exposição não depende de exploração de uma vulnerabilidade remota no navegador ou no próprio ScreenConnect; ela depende de engenharia social, abuso de anúncio, cloaking e execução do instalador pelo usuário ou por um fluxo que pareça legítimo. Ambientes que permitem ferramentas RMM de teste, downloads a partir de busca patrocinada e execução de instaladores fora de catálogo aprovado têm maior probabilidade de perder visibilidade no início da cadeia.
A etapa BYOVD amplia a exposição para controles de endpoint, porque o carregamento de um driver assinado vulnerável desloca a disputa para o núcleo do sistema. Mesmo que a organização use EDR, a proteção pode ser degradada se o driver for carregado e usado para encerrar processos do produto. A redundância por múltiplos agentes RMM também cria risco operacional: remover apenas a primeira sessão de ScreenConnect pode deixar outro canal ativo no mesmo host. O cenário exige correlação entre instalação de software remoto, criação de serviços, carregamento de driver, queda inesperada de agentes de segurança e eventos de acesso a credenciais.
A infraestrutura ainda apresentou um diretório aberto contendo uma página falsa de atualização do Chrome com comentários em russo no JavaScript. Esse detalhe sugere participação de um desenvolvedor falante de russo ou reaproveitamento de kit com esse traço linguístico, mas não estabelece atribuição confiável de ator, nacionalidade ou campanha específica. A conclusão defensiva mais importante é que a cadeia usa ferramentas amplamente disponíveis e serviços comerciais de cloaking, sem depender de capacidade exclusiva de um grupo avançado.
- Endpoints Windows com execução recente de instaladores do
ConnectWise ScreenConnectvindos de anúncios ou páginas de busca sobre impostos. - Hosts com múltiplas instâncias de teste do ScreenConnect instaladas em curto intervalo de tempo.
- Sistemas com
FleetDeck Agentimplantado sem solicitação formal de suporte ou sem ticket associado. - Máquinas em que o driver
HWAuidoOs2Ec.sysfoi carregado fora de um contexto legítimo de hardware ou pacote aprovado. - Ambientes em que processos de Microsoft Defender, Kaspersky ou SentinelOne foram encerrados de forma abrupta.
A investigação deve começar por inventário de RMM. Em endpoints e ferramentas de gestão, procure instalações recentes de ScreenConnect, múltiplos serviços do mesmo produto, sessões criadas em sequência e agentes sem proprietário operacional. A campanha usa instâncias de teste e ferramentas adicionais para manter acesso; portanto, uma busca limitada ao primeiro artefato pode subestimar o comprometimento. Eventos de criação de serviço, execução de instaladores baixados de navegador e conexões persistentes para relays de RMM ajudam a montar a linha do tempo.
No endpoint, a telemetria crítica envolve o carregamento de HWAuidoOs2Ec.sys, encerramento de processos de segurança e sinais de manipulação de memória. O acesso ao LSASS deve ser tratado como indicador de possível coleta de credenciais quando ocorrer após a instalação de RMM ou após falhas inesperadas do EDR. Em rede e identidade, procure autenticações novas a partir do host afetado, enumeração de compartilhamentos, conexões administrativas internas e uso de ferramentas de reconhecimento como NetExec. A análise deve diferenciar manutenção legítima de comportamento abusivo por vínculo com ticket, operador, origem do binário, hora de instalação e presença de camadas adicionais de persistência.
- Carregamento do driver
HWAuidoOs2Ec.sysem endpoints que não possuem justificativa de hardware ou pacote aprovado. - Queda, parada ou terminação inesperada de processos associados a Microsoft Defender, Kaspersky ou SentinelOne.
- Criação de múltiplas instalações de ScreenConnect no mesmo host em um intervalo de horas.
- Instalação de
FleetDeck Agentapós uma sessão inicial de ScreenConnect sem aprovação administrativa. - Acesso anômalo à memória do
LSASS, especialmente após execução de RMM ou antes de reconhecimento interno. - Execução de ferramentas de enumeração de rede e autenticações laterais originadas do endpoint recém-acessado.
A resposta deve priorizar contenção do acesso remoto e preservação de evidências. Hosts com sessões suspeitas de ScreenConnect ou FleetDeck Agent devem ser isolados da rede corporativa antes da remoção dos agentes, para evitar perda de telemetria e reentrada por canal redundante. Em seguida, revise serviços, tarefas, diretórios de instalação, logs do RMM e artefatos de download do navegador. Se houver evidência de acesso ao LSASS, trate credenciais locais e de domínio expostas como risco real e conduza rotação conforme o escopo identificado, com atenção a contas administrativas usadas no endpoint.
A prevenção deve combinar controle de aplicações, política de RMM e bloqueio de drivers vulneráveis. Organizações devem manter uma lista explícita de ferramentas remotas permitidas, bloquear instaladores não aprovados, exigir justificativa operacional para instâncias de teste e monitorar qualquer tentativa de adicionar RMM alternativo. Para BYOVD, é necessário revisar políticas de bloqueio de drivers, alertar para carregamento de drivers incomuns e validar se o EDR mantém visibilidade quando processos são encerrados. Como a campanha usa cloaking para escapar de análise automatizada, filtros de web e anúncio devem ser complementados por controles no endpoint e por inventário contínuo de software.
Na validação pós-incidente, reconstrua a sequência: clique em anúncio ou download, execução do instalador, criação da sessão remota, implantação de RMM adicional, entrega do crypter, carregamento do driver e qualquer tentativa de coleta de credenciais ou reconhecimento. Essa linha do tempo define se o caso ficou restrito ao endpoint inicial ou se houve expansão interna. Também permite identificar lacunas de detecção, como ausência de alerta para novo RMM, aceitação silenciosa de driver vulnerável ou falta de alerta para acesso ao LSASS.
- Isolar endpoints com sessões remotas suspeitas antes de remover agentes ou limpar arquivos.
- Revogar sessões do ScreenConnect e remover instâncias de teste não autorizadas após coleta de evidências.
- Investigar e remover
FleetDeck Agentquando não houver aprovação operacional documentada. - Bloquear ou alertar para carregamento do driver
HWAuidoOs2Ec.sysfora de contexto legítimo. - Revisar eventos de acesso ao
LSASSe rotacionar credenciais quando houver indício de coleta. - Aplicar lista de RMM permitido e negar execução de instaladores remotos obtidos fora de canais aprovados.
0 Comentários