Los anuncios de búsqueda de impuestos generan malware ScreenConnect utilizando el controlador de Huawei para deshabilitar EDR – CYBERDEFENSA.MX
admin Noticias, Trending
Los anuncios de búsqueda de impuestos generan malware ScreenConnect utilizando el controlador de Huawei para deshabilitar EDR – CYBERDEFENSA.MX

Se ha observado una campaña de publicidad maliciosa a gran escala activa desde enero de 2026 dirigida a personas con sede en EE. UU. que buscan documentos relacionados con impuestos para servir a instaladores fraudulentos de ConnectWise ScreenConnect que colocan una herramienta llamada HwAudKiller para cegar los programas de seguridad utilizando la técnica «traiga su propio controlador vulnerable» (BYOVD).

«La campaña abusa de Google Ads para ofrecer instaladores maliciosos de ScreenConnect (ConnectWise Control), y en última instancia entrega un asesino BYOVD EDR que coloca un controlador de kernel para cegar las herramientas de seguridad antes de comprometerlas aún más», Anna Pham, investigadora de Huntress. dicho en un informe publicado la semana pasada.

El proveedor de ciberseguridad dijo que identificó más de 60 casos de sesiones maliciosas de ScreenConnect vinculadas a la campaña. La cadena de ataques se destaca por un par de razones. A diferencia de campañas recientes destacadas por Microsoft que aprovechan señuelos con temas impositivos, la actividad recientemente señalada emplea servicios de encubrimiento comerciales para evitar la detección por escáneres de seguridad y abusa de un controlador de audio de Huawei previamente no documentado para desarmar las soluciones de seguridad.

Ciberseguridad

Los objetivos exactos de la campaña no están claros actualmente; sin embargo, en un caso, se dice que el actor de amenazas aprovechó el acceso para implementar el asesino de detección y respuesta de endpoints (EDR) y luego volcar las credenciales de la memoria de proceso del Servicio del subsistema de la autoridad de seguridad local (LSASS), además de usar herramientas como NetExec para reconocimiento de redes y movimiento lateral.

Estas tácticas, según Huntress, se alinean con el comportamiento previo al ransomware o del corredor de acceso inicial, lo que sugiere que el actor de la amenaza busca implementar ransomware o monetizar el acceso vendiéndolo a otros actores criminales.

El ataque comienza cuando los usuarios buscan términos como «formulario fiscal W2» o «formulario fiscal W-9 2026» en motores de búsqueda como Google, engañándolos para que hagan clic en resultados de búsqueda patrocinados que dirigen a los usuarios a sitios falsos como «bringetax[.]com/humu/» para activar la entrega del instalador de ScreenConnect.

Además, la página de destino está protegida por un sistema de distribución de tráfico (TDS) basado en PHP y desarrollado por Adspect, un servicio de encubrimiento comercial, para garantizar que se muestre una página benigna a los escáneres de seguridad y los sistemas de revisión de anuncios, mientras que sólo las víctimas reales ven la carga útil real.

Esto se logra generando una huella digital del visitante del sitio y enviándola al backend de Adspect, que luego determina la respuesta adecuada. Además de Adspect, el «index.php» de la página de inicio presenta una segunda capa de encubrimiento impulsada por JustCloakIt (JCI) en el lado del servidor.

«Los dos servicios de encubrimiento están apilados en el mismo index.php: el filtrado del lado del servidor de JCI se ejecuta primero, mientras que Adspect proporciona huellas dactilares de JavaScript del lado del cliente como segunda capa», explicó Pham.

Las páginas web conducen a la distribución de instaladores de ScreenConnect, que luego se utilizan para implementar múltiples instancias de prueba en el host comprometido. También se ha descubierto que el actor de amenazas elimina herramientas adicionales de administración y monitoreo remoto (RMM), como FleetDeck Agent, para lograr redundancia y garantizar un acceso remoto persistente.

La sesión de ScreenConnect se aprovecha para colocar un cifrador de varias etapas que actúa como conducto para un asesino de EDR con nombre en código HwAudKiller que utiliza la técnica BYOVD para finalizar procesos asociados con Microsoft Defender, Kaspersky y SentinelOne. El controlador vulnerable utilizado en el ataque es «HWAuidoOs2Ec.sys», un controlador de kernel de Huawei legítimo y firmado diseñado para hardware de audio de portátiles.

«El controlador finaliza el proceso de destino desde el modo kernel, evitando cualquier protección del modo de usuario en la que se basan los productos de seguridad. Debido a que el controlador está firmado legítimamente por Huawei, Windows lo carga sin quejas a pesar de Driver Signature Enforcement (DSE)», señaló Huntress.

Ciberseguridad

El criptocriptador, por su parte, intenta evadir la detección asignando 2 GB de memoria, llenándola con ceros y luego liberándola, lo que provoca que los motores antivirus y emuladores fallen debido a la alta asignación de recursos.

Actualmente no se sabe quién está detrás de la campaña, pero un directorio abierto expuesto en la infraestructura controlada por el actor de amenazas ha revelado una página falsa de actualización de Chrome que contiene código JavaScript con comentarios en ruso. Esto alude a un desarrollador de habla rusa en posesión de un conjunto de herramientas de ingeniería social para la distribución de malware.

«Esta campaña ilustra cómo las herramientas basadas en productos básicos han reducido la barrera para ataques sofisticados», dijo Pham. «El actor de la amenaza no necesitaba exploits personalizados ni capacidades de estado-nación, combinaron servicios de encubrimiento disponibles comercialmente (Adspect y JustCloakIt), instancias ScreenConnect de nivel gratuito, un cifrador disponible en el mercado y un controlador Huawei firmado con una debilidad explotable para construir una cadena de eliminación de extremo a extremo que va desde una búsqueda en Google hasta la terminación EDR en modo kernel».

«Un patrón consistente entre los hosts comprometidos fue el rápido apilamiento de múltiples herramientas de acceso remoto. Después de que se estableció el relé ScreenConnect inicial, el actor de amenazas implementó instancias de prueba adicionales de ScreenConnect en el mismo punto final, a veces dos o tres en cuestión de horas, y herramientas RMM de respaldo como FleetDeck».

54 asesinos de EDR utilizan BYOVD para explotar 34 controladores vulnerables firmados y desactivar la seguridad – CYBERDEFENSA.MX
admin Noticias, Trending
54 asesinos de EDR utilizan BYOVD para explotar 34 controladores vulnerables firmados y desactivar la seguridad – CYBERDEFENSA.MX

Un nuevo análisis de los asesinos de detección y respuesta de puntos finales (EDR) ha revelado que 54 de ellos aprovechan una técnica conocida como trae tu propio controlador vulnerable (BYOVD) al abusar de un total de 34 controladores vulnerables.

Los programas asesinos de EDR han sido una presencia común en las intrusiones de ransomware, ya que ofrecen una forma para que los afiliados neutralicen el software de seguridad antes de implementar malware de cifrado de archivos. Esto se hace en un intento de evadir la detección.

«Las bandas de ransomware, especialmente aquellas con programas de ransomware como servicio (RaaS), frecuentemente producen nuevas compilaciones de sus cifradores, y garantizar que cada nueva compilación pase desapercibida de manera confiable puede llevar mucho tiempo», dijo el investigador de ESET Jakub Souček. dicho en un informe compartido con The Hacker News.

«Más importante aún, los cifradores son inherentemente muy ruidosos (ya que inherentemente necesitan modificar una gran cantidad de archivos en un período corto); hacer que dicho malware no sea detectado es bastante desafiante».

Los asesinos de EDR actúan como un componente externo especializado que se ejecuta para desactivar los controles de seguridad antes de ejecutar los casilleros, manteniendo así estos últimos simples, estables y fáciles de reconstruir. Eso no quiere decir que no haya habido casos en los que los módulos de ransomware y terminación EDR se hayan fusionado en un solo binario. El ransomware Reynolds es un ejemplo de ello.

Ciberseguridad

La mayoría de los asesinos de EDR dependen de conductores legítimos pero vulnerables para obtener privilegios elevados y lograr sus objetivos. Entre las casi 90 herramientas asesinas de EDR detectadas por la empresa de ciberseguridad eslovaca, más de la mitad utilizan la conocida táctica BYOVD simplemente porque es confiable.

«El objetivo de un Ataque BYOVD es obtener privilegios en modo kernel, a menudo llamado Anillo 0″, Bitdefender explica. «En este nivel, el código tiene acceso ilimitado a la memoria y al hardware del sistema. Dado que un atacante no puede cargar un controlador malicioso no firmado, ‘trae’ un controlador firmado por un proveedor de confianza (como un fabricante de hardware o una versión antigua de antivirus) que tiene una vulnerabilidad conocida».

Armados con el acceso al kernel, los actores de amenazas pueden finalizar procesos EDR, deshabilitar herramientas de seguridad, alterar las devoluciones de llamadas del kernel y socavar las protecciones de los endpoints. El resultado es un abuso del modelo de confianza del conductor de Microsoft para evadir las defensas, aprovechando el hecho de que el conductor vulnerable es legítimo y está firmado.

Los asesinos de EDR basados ​​en BYOVD son desarrollados principalmente por tres tipos de actores de amenazas:

  • Grupos cerrados de ransomware como DeadLock y Warlock que no dependen de afiliados
  • Los atacantes bifurcan y modifican el código de prueba de concepto existente (por ejemplo, SmilingKiller y TfSysMon-Killer)
  • Los ciberdelincuentes comercializan este tipo de herramientas en mercados clandestinos como un servicio (por ejemplo, DemoKiller también conocido como БафометABYSSWORKER y CardSpaceKiller)

ESET dijo que también identificó herramientas basadas en scripts que utilizan comandos administrativos integrados como taskkill, net stop o sc delete para interferir con el funcionamiento normal de los procesos y servicios de los productos de seguridad. También se ha descubierto que determinadas variantes combinan secuencias de comandos con el modo seguro de Windows.

«Dado que el modo seguro carga sólo un subconjunto mínimo del sistema operativo y las soluciones de seguridad normalmente no están incluidas, el malware tiene una mayor probabilidad de desactivar la protección», señaló la compañía. «Al mismo tiempo, esta actividad es muy ruidosa, ya que requiere un reinicio, lo cual es arriesgado y poco confiable en entornos desconocidos. Por lo tanto, rara vez se ve en la naturaleza».

Ciberseguridad

La tercera categoría de asesinos de EDR son los anti-rootkits, que incluyen utilidades legítimas como GMER, HRSword y PC Hunter, que ofrecen una interfaz de usuario intuitiva para finalizar procesos o servicios protegidos. Una cuarta clase emergente es un conjunto de asesinos de EDR sin conductor, como EDRSilencer y EDR-Freeze, que bloquean el tráfico saliente de las soluciones EDR y hacen que los programas entren en un estado similar al de «coma».

«Los atacantes no están poniendo mucho esfuerzo en hacer que sus cifrados no sean detectados», dijo ESET. «Más bien, todas las técnicas sofisticadas de evasión de defensa se han trasladado a los componentes del modo de usuario de los asesinos EDR. Esta tendencia es más visible en los asesinos EDR comerciales, que a menudo incorporan capacidades maduras de antianálisis y antidetección».

Para combatir el ransomware y los asesinos de EDR, bloquear la carga de los controladores comúnmente utilizados indebidamente es un mecanismo de defensa necesario. Sin embargo, dado que los asesinos de EDR se ejecutan solo en la última etapa y justo antes de iniciar el cifrador, una falla en esta etapa significa que el actor de la amenaza puede cambiar fácilmente a otra herramienta para realizar la misma tarea.

La implicación es que las organizaciones necesitan defensas en capas y estrategias de detección para monitorear, marcar, contener y remediar proactivamente la amenaza en cada etapa del ciclo de vida del ataque.

«Los asesinos de EDR perduran porque son baratos, consistentes y están desacoplados del cifrador: una opción perfecta tanto para los desarrolladores de cifrados, que no necesitan concentrarse en hacer que sus cifrados sean indetectables, como para los afiliados, que poseen una utilidad poderosa y fácil de usar para interrumpir las defensas antes del cifrado», dijo ESET.

OAuth Trap, EDR Killer, Signal Phishing, Zombie ZIP, AI Platform Hack & More – CYBERDEFENSA.MX
admin Noticias, Trending
OAuth Trap, EDR Killer, Signal Phishing, Zombie ZIP, AI Platform Hack & More – CYBERDEFENSA.MX

Another Thursday, another pile of weird security stuff that somehow happened in just seven days. Some of it is clever. Some of it is lazy. A few bits fall into that uncomfortable category of “yeah… this is probably going to show up in real incidents sooner than we’d like.”

The pattern this week feels familiar in a slightly annoying way. Old tricks are getting polished. New research shows how flimsy certain assumptions really are. A couple of things that make you stop mid-scroll and think, “wait… people are actually pulling this off?”

There’s also the usual mix of strange corners of the ecosystem doing strange things — infrastructure behaving a little too professionally for comfort, tools showing up where they absolutely shouldn’t, and a few cases where the weakest link is still just… people clicking stuff they probably shouldn’t.

Anyway. If you’ve got five minutes and a mild curiosity about what attackers, researchers, and the broader internet gremlins were up to lately, this week’s ThreatsDay Bulletin on The Hacker News has the quick hits. Scroll on.

Some of the stuff in this week’s list feels a little too practical. Not big flashy hacks — just simple tricks used in the right place at the right time. The kind of things that make defenders sigh because… yeah, that’ll probably work.

There’s also a bit of the usual theme: tools and features doing exactly what they were designed to do… just not for the people who built them. Add some creative thinking, and suddenly normal workflows start looking like attack paths.

Anyway — quick reads, strange ideas, and a few reminders that security problems rarely disappear… they just change shape. Scroll on.