Anuncios de impuestos en Google propagan malware ScreenConnect que desactiva antivirus

Una campaña de publicidad maliciosa (malvertising) a gran escala ha estado activa desde enero de 2026, afectando a usuarios en Estados Unidos que buscan documentos relacionados con impuestos. Los atacantes utilizan anuncios fraudulentos para distribuir instaladores falsos de ConnectWise ScreenConnect, un software de acceso remoto. Estos instaladores descargan una herramienta llamada HwAudKiller que deshabilita los programas de seguridad utilizando una técnica llamada BYOVD (Bring Your Own Vulnerable Driver), que consiste en usar un controlador vulnerable para evadir las defensas.

Cómo funciona el ataque

Los atacantes abusan de los anuncios de Google. Cuando los usuarios buscan términos como "W2 tax form" o "W-9 Tax Forms 2026", son engañados para que hagan clic en resultados de búsqueda patrocinados que los dirigen a sitios web fraudulentos. Estos sitios web, como "bringetax[.]com/humu/", inician la descarga del instalador de ScreenConnect. Para evitar ser detectados por los sistemas de seguridad, los atacantes utilizan servicios de "cloaking" (encubrimiento) comerciales como Adspect y JustCloakIt. Estos servicios muestran una página web benigna a los escáneres de seguridad y a los sistemas de revisión de anuncios, mientras que a las víctimas reales se les muestra el contenido malicioso.

• El instalador de ScreenConnect descarga múltiples instancias de prueba en el equipo comprometido.
• También se instalan herramientas adicionales de administración y monitorización remota (RMM) como FleetDeck Agent, para asegurar el acceso remoto persistente.
• La sesión de ScreenConnect se utiliza para descargar un "crypter" (herramienta para ofuscar el malware) que a su vez instala HwAudKiller, el componente que desactiva el antivirus.
• HwAudKiller utiliza la técnica BYOVD usando un controlador firmado de Huawei (HWAuidoOs2Ec.sys) diseñado para hardware de audio de portátiles. Este controlador vulnerable permite terminar procesos asociados con Microsoft Defender, Kaspersky y SentinelOne.

Objetivos del ataque

Aunque los objetivos exactos de la campaña no están claros, se ha observado que los atacantes utilizan el acceso para extraer credenciales de la memoria del proceso LSASS (Local Security Authority Subsystem Service), y utilizan herramientas como NetExec para reconocimiento de la red y movimiento lateral. Estos métodos sugieren que los atacantes buscan desplegar ransomware (secuestro de datos) o monetizar el acceso vendiéndolo a otros actores criminales.

Qué significa esto para ti

Esta campaña demuestra cómo herramientas disponibles comercialmente están permitiendo ataques sofisticados. Los atacantes no necesitan exploits personalizados ni capacidades avanzadas. La combinación de servicios de "cloaking", instancias gratuitas de ScreenConnect, un "crypter" genérico y un controlador firmado de Huawei con una vulnerabilidad, les permite crear una cadena de ataque completa que va desde una búsqueda en Google hasta la desactivación del antivirus a nivel del kernel (núcleo del sistema operativo). Es crucial ser cauteloso con los anuncios en buscadores y verificar la legitimidad de los sitios web antes de descargar cualquier archivo.