税務申告シーズンが到来し、サイバー犯罪者がこの波に乗じている。Huntressの調査によると、米国の納税者を標的とした大規模なマルバタイジングキャンペーンが2026年1月から活動している。
脅威アクターはW-2およびW-9税務申告書に偽装した悪質なGoogle広告を使用して、被害者を不正なScreenConnectインストーラーのダウンロードに誘い込んでいる。
システムに侵入すると、攻撃者は「独自の脆弱なドライバを持ち込む」(BYOVD)攻撃を実行してセキュリティツールをオフにし、ネットワークの侵害とランサムウェアのデプロイの可能性への道を開く。
悪質な広告を維持するため、脅威アクターはAdspectやJustCloakItなどの商用クローキングサービスを使用している。これらのツールはGoogleのセキュリティスキャナーに無害なウェブページを表示しながら、実際のユーザーをマルウェアペイロードにリダイレクトする。
攻撃者は1台のマシンに複数の無料ScreenConnectリレーおよびバックアップ管理ツールをインストールして永続性を確立し、いずれかのツールが削除されてもアクセスを維持できるようにしている。
リモートアクセスが確保されると、攻撃者は「FatMalloc」という多段階の暗号化ツールを実行する。このマルウェアは意図的に2ギガバイトのメモリを割り当てて、アンチウイルスエミュレータのリソースを枯渇させ、タイムアウトを引き起こしてセキュリティスキャンをバイパスする。
暗号化ツールはWindowsマルチメディアタイマーAPIなどの間接実行方法を使用して、動作アラートをトリガーせずに暗号化されたペイロードを実行する。
さらに基本的な文字列検出を回避するため、マルウェア開発者はすべてのアプリケーションプログラミングインターフェース(API)名の前に「Y」という文字を付けている。
研究者は、同じインフラ上でホストされている関連する偽のGoogle Chromeアップデートページでロシア語のコメントを発見し、開発者の出身地を示している。
FatMalloc暗号化ツールにより配信される最終的なペイロードは「HwAudKiller」というEDRキラーツールである。このマルウェアは、Huaweiのオーディオドライバ「HWAudioOs2Ec.sys」という正規の署名付きドライバをシステムの一時フォルダにドロップし、「Havoc」というカーネルサービスとして読み込む。
大手ハードウェアベンダーにより電子署名されているが、この特定のドライバには、システムレベルのカーネル権限で任意のプロセスを終了できる検証されていない関数が含まれている。
HwAudKillerはこの脆弱性を悪用してエンドポイント検出応答(EDR)エージェントを繰り返しスキャンして終了し、Microsoft Defender、SentinelOne、Kaspersky を正常に無効化している。Huntressによると、セキュリティ防御が完全に無効化された状態で、攻撃者は直ちに認証情報盗難にピボットする。
標準的なWindowsツールを使用して、LSASPSのパスワードをダンプし、NetExecのようなツールを使用してネットワーク全体での横移動を試みる。
この振る舞いは、攻撃者が初期アクセスブローカーとして機能しているか、広範なランサムウェアのデプロイに備えて環境を準備していることを強く示唆している。
この脅威から防御するため、組織は不正なScreenConnectインスタンスを監視し、一時的なディレクトリから予期しないカーネルドライバが読み込まれる場合を調査する必要がある。
翻訳元: https://cyberpress.org/tax-ads-deploy-edr-killer/