Reklamy Tax Search rozsyłają malware ScreenConnect, używając sterownika Huawei do wyłączania EDR

Cyberprzestępcy po raz kolejny udowadniają, że okres rozliczeń podatkowych to dla nich prawdziwe żniwa, a Google Ads pozostaje jednym z najskuteczniejszych wektorów ataku. Od stycznia 2026 roku obserwujemy zakrojoną na szeroką skalę kampanię malvertisingową, która uderza w użytkowników poszukujących oficjalnych dokumentów podatkowych. Tym razem jednak napastnicy nie ograniczają się do prostej kradzieży danych logowania – wykorzystują zaawansowaną technikę BYOVD (Bring Your Own Vulnerable Driver), aby całkowicie oślepić systemy bezpieczeństwa klasy EDR (Endpoint Detection and Response).

Mechanizm infekcji jest precyzyjnie zaprojektowany: ofiara, wpisując w wyszukiwarkę frazy związane z podatkami, trafia na wysoko pozycjonowaną reklamę prowadzącą do fałszywych instalatorów oprogramowania ConnectWise ScreenConnect. Choć samo narzędzie jest legalnym rozwiązaniem do zdalnego pulpitu, jego zmodyfikowana wersja służy jako koń trojański, dostarczający do systemu ofiary groźny ładunek o nazwie HwAudKiller. To właśnie ten komponent stanowi o unikalności i niebezpieczeństwie opisywanego ataku.

Podatny sterownik Huawei jako wytrych do systemu

Kluczowym elementem operacji jest wykorzystanie legalnego, ale podatnego na ataki sterownika Huawei. Technika BYOVD polega na tym, że złośliwe oprogramowanie instaluje w systemie starszą, podpisaną cyfrowo wersję sterownika, która posiada znane luki bezpieczeństwa. Ponieważ sterownik jest podpisany przez zaufanego wydawcę, system operacyjny Windows pozwala na jego załadowanie z uprawnieniami jądra (kernel-mode). Napastnicy wykorzystują te uprawnienia, aby za pomocą narzędzia HwAudKiller uzyskać bezpośredni dostęp do pamięci systemowej i procesów.

Głównym zadaniem HwAudKiller jest identyfikacja i neutralizacja procesów należących do rozwiązań antywirusowych oraz systemów EDR. Poprzez manipulację strukturami jądra, malware jest w stanie "oślepić" oprogramowanie zabezpieczające, sprawiając, że staje się ono bezużyteczne. W efekcie, po wyłączeniu ochrony, dalsze etapy ataku – takie jak eksfiltracja danych czy instalacja oprogramowania ransomware – mogą przebiegać całkowicie poza radarem administratorów IT.

Od Google Ads do pełnej kontroli nad stacją roboczą

Kampania ta rzuca nowe światło na problem zaufania do wyników wyszukiwania. Atakujący wykazali się dużą biegłością w omijaniu filtrów Google Ads, tworząc reklamy, które na pierwszy rzut oka wyglądają na oficjalne źródła dokumentacji podatkowej. Użytkownik, pobierając rzekomy formularz lub narzędzie do rozliczeń, w rzeczywistości uruchamia skrypt, który inicjuje pobieranie ConnectWise ScreenConnect. Dzięki temu napastnicy zyskują trwały dostęp zdalny do zainfekowanej maszyny, co w środowisku korporacyjnym może być punktem wyjścia do ataku na całą sieć.

Warto zwrócić uwagę na specyfikację techniczną narzędzia HwAudKiller. Nie jest to generyczny wirus, lecz wyspecjalizowane narzędzie ofensywne, które potrafi:

• Wykrywać aktywne usługi EDR i antywirusowe w czasie rzeczywistym.
• Ładować podatny sterownik Huawei bez wywoływania alertów systemowych UAC (jeśli uprawnienia zostały wcześniej podniesione).
• Wymuszać zamknięcie procesów chronionych, które normalnie są niemożliwe do zatrzymania przez użytkownika.
• Modyfikować rejestr systemowy w celu zapewnienia sobie trwałości (persistence) po restarcie komputera.

Nowa era zagrożeń i konieczność przejścia na ZTNA

Skuteczność tej kampanii obnaża słabości tradycyjnych modeli bezpieczeństwa opartych na zaufaniu do podpisanych sterowników i tradycyjnych sieci VPN. W obliczu zagrożeń typu BYOVD, organizacje muszą zrewidować swoje podejście do ochrony punktów końcowych. Samo posiadanie agenta EDR przestaje wystarczać, jeśli napastnik może go wyłączyć na poziomie jądra systemu. Kluczowe staje się wdrożenie architektury Zero Trust Network Access (ZTNA), która eliminuje zjawisko lateral movement (ruchu bocznego) wewnątrz sieci.

Przejście z modelu opartego na VPN na kompleksowe ZTNA pozwala na bezpośrednie łączenie użytkowników z konkretnymi aplikacjami, zamiast dawania im dostępu do całego segmentu sieci. W kontekście ataku wykorzystującego ScreenConnect, restrykcyjne polityki ZTNA mogłyby zablokować nieautoryzowane połączenia wychodzące do serwerów C2 (Command and Control), nawet jeśli lokalne systemy antywirusowe zostałyby unieszkodliwione przez HwAudKiller.

"Kampania nadużywa Google Ads, aby serwować złośliwe wersje ScreenConnect, co pozwala napastnikom na bezkarne operowanie wewnątrz zainfekowanych systemów po uprzednim oślepieniu zabezpieczeń."

Strategia obrony w świecie zainfekowanych reklam

Dla działów bezpieczeństwa najważniejszym wnioskiem z obecnej sytuacji jest fakt, że wektor ataku typu malvertising staje się coraz bardziej wyrafinowany technicznie. Atakujący nie liczą już tylko na naiwność użytkownika, ale aktywnie zwalczają technologiczne bariery ochronne. Aby przeciwdziałać takim zagrożeniom, niezbędne jest wdrożenie wielowarstwowej strategii obronnej, która obejmuje:

• Blokowanie możliwości ładowania znanych, podatnych sterowników (Driver Blocklisting) na poziomie systemu operacyjnego.
• Monitoring użycia narzędzi do zdalnego pulpitu, takich jak ConnectWise ScreenConnect, pod kątem nietypowych wzorców ruchu.
• Edukację użytkowników w zakresie weryfikacji źródeł pobierania oprogramowania, szczególnie w okresach wzmożonej aktywności podatkowej.
• Wdrożenie segmentacji sieci opartej na tożsamości, co ogranicza skutki ewentualnego przejęcia pojedynczej stacji roboczej.

Ryzyko związane z kampanią HwAudKiller jest o tyle wysokie, że łączy ona masowość (reklamy w wyszukiwarce) z precyzją ataku typu APT (Advanced Persistent Threat). Wykorzystanie legalnego sterownika Huawei jako narzędzia do ataku pokazuje, że zaufanie do cyfrowych certyfikatów i podpisów nie może być bezkrytyczne. W świecie, gdzie napastnicy potrafią "wyłączyć" ochronę EDR, jedyną skuteczną metodą pozostaje założenie, że system został już naruszony, i budowanie zabezpieczeń w oparciu o tę tezę.

W nadchodzących miesiącach należy spodziewać się ewolucji narzędzi typu HwAudKiller, które będą celować w kolejne podatne sterowniki innych producentów. Branża cyberbezpieczeństwa stoi przed wyzwaniem stworzenia mechanizmów, które będą w stanie wykrywać manipulacje w jądrze systemu, zanim agent EDR zostanie całkowicie odcięty od możliwości raportowania incydentów. Bez radykalnej zmiany w sposobie zarządzania uprawnieniami do sterowników w systemach Windows, technika BYOVD pozostanie jedną z najgroźniejszych broni w arsenale współczesnych cyberprzestępców.