{"id":357,"date":"2026-03-24T19:08:41","date_gmt":"2026-03-24T19:08:41","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/24\/los-anuncios-de-busqueda-de-impuestos-generan-malware-screenconnect-utilizando-el-controlador-de-huawei-para-deshabilitar-edr-cyberdefensa-mx\/"},"modified":"2026-03-24T19:08:41","modified_gmt":"2026-03-24T19:08:41","slug":"los-anuncios-de-busqueda-de-impuestos-generan-malware-screenconnect-utilizando-el-controlador-de-huawei-para-deshabilitar-edr-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/24\/los-anuncios-de-busqueda-de-impuestos-generan-malware-screenconnect-utilizando-el-controlador-de-huawei-para-deshabilitar-edr-cyberdefensa-mx\/","title":{"rendered":"Los anuncios de b\u00fasqueda de impuestos generan malware ScreenConnect utilizando el controlador de Huawei para deshabilitar EDR \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Se ha observado una campa\u00f1a de publicidad maliciosa a gran escala activa desde enero de 2026 dirigida a personas con sede en EE. UU. que buscan documentos relacionados con impuestos para servir a instaladores fraudulentos de ConnectWise ScreenConnect que colocan una herramienta llamada HwAudKiller <\/b>para cegar los programas de seguridad utilizando la t\u00e9cnica \u00abtraiga su propio controlador vulnerable\u00bb (BYOVD).<\/p>\n

\u00abLa campa\u00f1a abusa de Google Ads para ofrecer instaladores maliciosos de ScreenConnect (ConnectWise Control), y en \u00faltima instancia entrega un asesino BYOVD EDR que coloca un controlador de kernel para cegar las herramientas de seguridad antes de comprometerlas a\u00fan m\u00e1s\u00bb, Anna Pham, investigadora de Huntress. dicho<\/a> en un informe publicado la semana pasada.<\/p>\n

El proveedor de ciberseguridad dijo que identific\u00f3 m\u00e1s de 60 casos de sesiones maliciosas de ScreenConnect vinculadas a la campa\u00f1a. La cadena de ataques se destaca por un par de razones. A diferencia de campa\u00f1as recientes destacadas por Microsoft que aprovechan se\u00f1uelos con temas impositivos, la actividad recientemente se\u00f1alada emplea servicios de encubrimiento comerciales para evitar la detecci\u00f3n por esc\u00e1neres de seguridad y abusa de un controlador de audio de Huawei previamente no documentado para desarmar las soluciones de seguridad.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Los objetivos exactos de la campa\u00f1a no est\u00e1n claros actualmente; sin embargo, en un caso, se dice que el actor de amenazas aprovech\u00f3 el acceso para implementar el asesino de detecci\u00f3n y respuesta de endpoints (EDR) y luego volcar las credenciales de la memoria de proceso del Servicio del subsistema de la autoridad de seguridad local (LSASS), adem\u00e1s de usar herramientas como NetExec<\/a> para reconocimiento de redes y movimiento lateral.<\/p>\n

Estas t\u00e1cticas, seg\u00fan Huntress, se alinean con el comportamiento previo al ransomware o del corredor de acceso inicial, lo que sugiere que el actor de la amenaza busca implementar ransomware o monetizar el acceso vendi\u00e9ndolo a otros actores criminales.<\/p>\n

El ataque comienza cuando los usuarios buscan t\u00e9rminos como \u00abformulario fiscal W2\u00bb o \u00abformulario fiscal W-9 2026\u00bb en motores de b\u00fasqueda como Google, enga\u00f1\u00e1ndolos para que hagan clic en resultados de b\u00fasqueda patrocinados que dirigen a los usuarios a sitios falsos como \u00abbringetax[.]com\/humu\/\u00bb para activar la entrega del instalador de ScreenConnect.<\/p>\n

Adem\u00e1s, la p\u00e1gina de destino est\u00e1 protegida por un sistema de distribuci\u00f3n de tr\u00e1fico (TDS) basado en PHP y desarrollado por Adspect, un servicio de encubrimiento comercial, para garantizar que se muestre una p\u00e1gina benigna a los esc\u00e1neres de seguridad y los sistemas de revisi\u00f3n de anuncios, mientras que s\u00f3lo las v\u00edctimas reales ven la carga \u00fatil real.<\/a><\/p>\n

\"\"<\/a><\/div>\n

Esto se logra generando una huella digital del visitante del sitio y envi\u00e1ndola al backend de Adspect, que luego determina la respuesta adecuada. Adem\u00e1s de Adspect, el \u00abindex.php\u00bb de la p\u00e1gina de inicio presenta una segunda capa de encubrimiento impulsada por JustCloakIt (JCI) en el lado del servidor.<\/p>\n

\u00abLos dos servicios de encubrimiento est\u00e1n apilados en el mismo index.php: el filtrado del lado del servidor de JCI se ejecuta primero, mientras que Adspect proporciona huellas dactilares de JavaScript del lado del cliente como segunda capa\u00bb, explic\u00f3 Pham.<\/p>\n

Las p\u00e1ginas web conducen a la distribuci\u00f3n de instaladores de ScreenConnect, que luego se utilizan para implementar m\u00faltiples instancias de prueba en el host comprometido. Tambi\u00e9n se ha descubierto que el actor de amenazas elimina herramientas adicionales de administraci\u00f3n y monitoreo remoto (RMM), como FleetDeck Agent, para lograr redundancia y garantizar un acceso remoto persistente.<\/p>\n

La sesi\u00f3n de ScreenConnect se aprovecha para colocar un cifrador de varias etapas que act\u00faa como conducto para un asesino de EDR con nombre en c\u00f3digo HwAudKiller que utiliza la t\u00e9cnica BYOVD para finalizar procesos asociados con Microsoft Defender, Kaspersky y SentinelOne. El controlador vulnerable utilizado en el ataque es \u00abHWAuidoOs2Ec.sys\u00bb, un controlador de kernel de Huawei leg\u00edtimo y firmado dise\u00f1ado para hardware de audio de port\u00e1tiles.<\/p>\n

\u00abEl controlador finaliza el proceso de destino desde el modo kernel, evitando cualquier protecci\u00f3n del modo de usuario en la que se basan los productos de seguridad. Debido a que el controlador est\u00e1 firmado leg\u00edtimamente por Huawei, Windows lo carga sin quejas a pesar de Driver Signature Enforcement (DSE)\u00bb, se\u00f1al\u00f3 Huntress.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El criptocriptador, por su parte, intenta evadir la detecci\u00f3n asignando 2 GB de memoria, llen\u00e1ndola con ceros y luego liber\u00e1ndola, lo que provoca que los motores antivirus y emuladores fallen debido a la alta asignaci\u00f3n de recursos.<\/p>\n

Actualmente no se sabe qui\u00e9n est\u00e1 detr\u00e1s de la campa\u00f1a, pero un directorio abierto expuesto en la infraestructura controlada por el actor de amenazas ha revelado una p\u00e1gina falsa de actualizaci\u00f3n de Chrome que contiene c\u00f3digo JavaScript con comentarios en ruso. Esto alude a un desarrollador de habla rusa en posesi\u00f3n de un conjunto de herramientas de ingenier\u00eda social para la distribuci\u00f3n de malware.<\/p>\n

\u00abEsta campa\u00f1a ilustra c\u00f3mo las herramientas basadas en productos b\u00e1sicos han reducido la barrera para ataques sofisticados\u00bb, dijo Pham. \u00abEl actor de la amenaza no necesitaba exploits personalizados ni capacidades de estado-naci\u00f3n, combinaron servicios de encubrimiento disponibles comercialmente (Adspect y JustCloakIt), instancias ScreenConnect de nivel gratuito, un cifrador disponible en el mercado y un controlador Huawei firmado con una debilidad explotable para construir una cadena de eliminaci\u00f3n de extremo a extremo que va desde una b\u00fasqueda en Google hasta la terminaci\u00f3n EDR en modo kernel\u00bb.<\/p>\n

\u00abUn patr\u00f3n consistente entre los hosts comprometidos fue el r\u00e1pido apilamiento de m\u00faltiples herramientas de acceso remoto. Despu\u00e9s de que se estableci\u00f3 el rel\u00e9 ScreenConnect inicial, el actor de amenazas implement\u00f3 instancias de prueba adicionales de ScreenConnect en el mismo punto final, a veces dos o tres en cuesti\u00f3n de horas, y herramientas RMM de respaldo como FleetDeck\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Se ha observado una campa\u00f1a de publicidad maliciosa a gran escala activa desde enero de 2026 dirigida a personas con sede en EE. UU. que buscan documentos relacionados con impuestos para servir a instaladores fraudulentos de ConnectWise ScreenConnect que colocan una herramienta llamada HwAudKiller para cegar los programas de seguridad utilizando la t\u00e9cnica \u00abtraiga su […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1244,1245,1249,24,1251,814,1247,1250,1246,52,60,36,1248,330],"class_list":["post-357","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-anuncios","tag-busqueda","tag-controlador","tag-cyberdefensa-mx","tag-deshabilitar","tag-edr","tag-generan","tag-huawei","tag-impuestos","tag-los","tag-malware","tag-para","tag-screenconnect","tag-utilizando"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/357","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=357"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/357\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=357"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=357"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=357"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}