税務をテーマにしたGoogle広告が、BYOVD型EDRキラーの配信に悪用されており、Huntressは大規模なマルバタイジング キャンペーンを不正なScreenConnect展開と、エンドポイント防御を無効化する前に手動での活動が行われるのを確認するために使用される脆弱なHuaweiオーディオドライバにリンク付けています。
「W2税務フォーム」や「W-9税務フォーム2026」などのクエリに対してスポンサー付きGoogle広告が表示され、現実的な税務テーマのランディングページにアクセスすると、IRS準拠が呼び出され、従業員、請負業者、小企業を誘引します。
監視対象の環境全体で、Huntressはこのアクティビティに関連する60以上の不正なScreenConnect セッションを観測し、Google広告が初期アクセスベクトルであることを確認しました。メールフィッシングやエクスプロイトキットではなく。
被害者が広告をクリックすると、トラフィックはanukitax[.]comやbringetax[.]comのようなドメインを通過し、最終的に4sync上でホストされているScreenConnect MSIを配信し、デフォルトのトライアルクラウドパラメータ(instance-*リレー、y=Guestロール)の下でリモートアクセスを確立しました。これは不正なRMM使用の強い兆候です。
Huntressの遡及的なハンティングにより、2026年1月以降活動している継続的なマルバタイジング作戦が明らかになり、米国のユーザーがW-2やW-9などのIRS税務フォームを急いで検索する申告シーズンに焦点を当てています。
同じオープンディレクトリは、共有インフラストラクチャから提供される偽のChrome更新ページも公開しており、オペレータが税務とブラウザ更新のテーマを切り替えながら同じバックエンドを再利用して複数のおとり・テンプレートを並行して実行していることを示しています。
デュアルレイヤーのクローキングとインフラストラクチャ
悪意のある広告をライブ状態に保つため、オペレータはAdspectとJustCloakIt(JCI)の2つの商用クローキングサービスを積み重ねています。
被害者が更新ボタンをクリックすると、JavaScriptはipapi.coを介して被害者のIPアドレスと地理情報を取得し、被害者のIP、国、参照URLをオペレータのTelegramボットにリアルタイム通知で送信し、脅迫者に各ダウンロードが成功したことについて即座の可視性を与えます。
AdspectのJavaScriptベースのトラフィック配信システムは、windowおよびnavigatorプロパティ、DOM属性、WebGL GPUストリング、iframeステータス、DevTools使用状況を列挙することで訪問者をフィンガープリント化し、このプロフィールをrpc.adspect[.]netに投稿してペイロード、プロキシコンテンツ、リダイレクト、または無害な「セーフページ」へのフォールバックを提供するかどうかについての判定を受け取ります。
これにより、Googleレビュー担当者、VirusTotal、およびその他のスキャナーが一貫して無害なコンテンツを見ることができ、一方で実際のハードウェア上の実際のユーザーがマルウェアに導かれます。
2番目のレイヤーはjcibj[.]comを介して実装され、jcibj[.]com、bjtrck[.]com、およびjustcloakit サブドメインをカバーする共有TLS証明書を通じてJustCloakItに直接関連付けられており、IP、User-Agent、referer、およびGoogle広告のgclidパラメータを含むPOSTされた訪問者メタデータを受け取ります。
JCIのバックエンドはオペレータごとの判定を割り当て、monetizable トラフィックのみがScreenConnectおよびペイロードインフラストラクチャに到達するようにします。
「コンテンツルールなし」で公然と販売されているこの商用クローキングスタックは、テイクダウンをネズミ取りゲームに変え、プラットフォームがキャンペーンの悪意のあるブランチを見るのに苦労する状態を作成します。
侵害されたホストでは、初期ScreenConnectセッションを使用して、crypteds.exeを配信・実行しました。これはMinGWで構築された「FatMalloc」という名前のマルチステージ暗号化マシーンで、最終的にはHwAudKillerをメモリにロードします。
FatMallocはまず2GBのメモリを割り当てでゼロにしてからそれを解放します。これはローリソースサンドボックスを破壊し、AVエミュレーターが実際の復号化ロジックに到達する前にタイムアウトさせるタクティックです。
このチェックが成功すると、埋め込みシェルコードブロブを実行可能としてマークし、ブロックベースXORスキームで復号化し、Windows timeSetEventをコールバックラッパーと共に使用してwinmm.dllから間接的にシェルコードを実行し、RWXメモリで作成されたスレッド周辺の一般的なヒューリスティックを回避します。
復号化とRtlDecompressBufferによる展開の後、結果はHwAudKillerであり、メモリ常駐型のBYOVDツールであり、そのPDBパス(「HwAudKiller.pdb」)とコンソールバナー(「Havoc Process Terminator」)がその内部命名を明かします。
HwAudKillerは合法的なHuaweiオーディオドライバ(HWAuidoOs2Ec.sys)を「Havoc」という名前のカーネルサービス下でHavoc.sysとして展開し、プロセスを繰り返し列挙し、\.\HWAudioX64に対してIOCTL 0x2248DCを使用してカーネルモードからDefender、Kaspersky、SentinelOne、およびシステムプロセスのハードコード化されたリストを削除します。
Huaweiオーディオドライバの悪用
Huntressはこれを、この署名されたHuaweiオーディオドライバがBYOVD兵器として悪用される最初の公開ケースとして評価し、LOLDrivers、Microsoftのドライバブロックリスト、および事前のレポートに欠けていることを指摘しています。
このドライバはIOCTLハンドラーを公開しており、呼び出し側が提供するPIDを受け取り、ZwOpenProcessを通じてPROCESS_ALL_ACCESSでそれを開き、ターゲットを検証せずにすぐにZwTerminateProcessを呼び出し、ドライバをロードできるユーザーランドコードに任意のカーネルモード削除機能を付与します。
ローダーシェルコードは難読化された「Y」接頭辞の名前を介してAPIを解決し、圧縮されたペイロードサイズ、XORキー、およびLZNT1圧縮された最終PEを定義するCHOC設定ブロックを解析します。
バイナリはHuaweiDevice Co., Ltd.によって適切に署名されているため、Windowsはそれを文句なくロードし、攻撃者がユーザーモード改ざん保護とEDR製品の自己防御機能をバイパスできます。
可視性が除去されると、侵入者はすぐに認証情報の盗難とラテラルムーブメントにピボットします。Huntressはcomsvcs.dllおよびrundll32を介したLSASSダンプを観測し、その後ネットワークスキャンとNetExecモジュール(lassyおよび-dpapi)を使用した複数のホスト全体での大規模認証情報収穫が続きました。
sent.exeという名前の変種を使用した2番目の侵入はFortiEDRプロセスへの削除リストを拡張しましたが、軽微な文字列終了バグがありました。これは能動的で反復的な開発を反映しています。
これらの動作は、盲目化されたEDR、収穫された認証情報、およびレジリエントなRMMアクセスが直接的な暗号化またはアクセスの再販を通じて現金化されるランサムウェア前またはイニシャルアクセスブローカーの tradecraft と一致しています。
主要な検出ポイントはこのチェーンのエッジにあります。トライアルinstance-*リレーまたはデフォルトy=Guestセッションを使用する予期しないScreenConnectインスタンス、特に複数のリレーと同じホスト上で短時間に現れるFleetDeckなどのバックアップRMMが場合。
セキュリティチームは、crypteds.exeのような署名なしまたは不明な実行可能ファイルの場合C:\Windows\SystemTemp\ScreenConnect<バージョン>\などのScreenConnectワーキングフォルダーを監視する必要があります。特に子プロセスをスポーン、ドライバをロード、またはセキュリティ設定を変更する場合。
カーネルレイヤーでは、%TEMP%から作成された新しいtype=カーネルサービス(例えば、「Havoc」という名前のサービスがHavoc.sysをロードする)に関するアラートをSysmon Event ID 6およびEvent ID 7045などのテレメトリを使用して表面化させることで、BYOVD試行を表面化させることができます。
税務およびブラウザ更新テーマが与えられた場合、ユーザー認識は引き続き重要です。スタッフは、政府フォーム用のスポンサー付き検索結果でも本質的に信頼できるとは限らず、税務書類またはブラウザ更新のダウンロードは公式サイト(IRS.gov、ベンダーポータル、管理ソフトウェア配布)からのみ取得する必要があることを思い出させるべきです。
最後に、組織はRMMホワイトリストを採用し、既知のドメインとツールのみを承認し、承認されていないScreenConnectリレーまたは広告駆動型インストールを可能性の高い侵害として扱い、即座の分類と脅威狩りが必要です。
翻訳元: https://gbhackers.com/tax-scam-google-ads/
