概要
セキュリティ企業Huntressは、悪意のある攻撃者がGoogle広告を利用して「W-2税申告書」や「W-9税申告書」などのキーワードを検索したユーザーに対して、偽の税関連ウェブサイトへ誘導するマルウェア配布キャンペーンを行っていることを発表しました。このキャンペーンは、ScreenConnectとHuaweiのサウンドドライバを使用して、エンドポイントデバイス上のEDR(Endpoint Detection and Response)ツールを無効化し、その後に攻撃者による遠隔操作を行うものです。
Google広告を通じたマルウェア配布
Huntressは、このキャンペーンが少なくとも2026年1月から継続しており、主に米国のユーザーを標的としています。攻撃者は「W-2税申告書」や「W-9税申告書」といったキーワードで検索したユーザーに対して、偽の税関連ウェブサイトへ誘導するGoogle広告を配布しています。
ScreenConnectとHuaweiドライバの悪用
ユーザーがこれらの広告をクリックすると、攻撃者はScreenConnectを使用して遠隔操作を行い、その後にHuaweiのサウンドドライバ「HWAuidoOs2Ec.sys」を悪用します。このドライバは、特定のプロセスを終了するためのIOCTLコマンドを実行することで、EDRツールや他のセキュリティソフトウェアを無効化することができます。
マルウェアの展開と攻撃者の活動
Huntressは、このキャンペーンが「FatMalloc」と呼ばれるマルウェアを使用していることを明らかにしました。このマルウェアは、ScreenConnectを通じて配布され、その後にHuaweiドライバを悪用してEDRツールを無効化します。
攻撃者は、EDRが無効になった後すぐにクレデンシャルの盗難や横展開を行い、さらにネットワークスキャンや大量のクレデンシャル収集を行います。これらの活動は、ランサムウェア配布またはアクセス販売のための初期侵入ブローカーの手法と一致しています。
検出ポイント
セキュリティチームは以下の点に注意を払うべきです:
- ScreenConnectのトライアルインスタンスやゲストセッションの存在
- C:\Windows\SystemTemp\ScreenConnect<バージョン>フォルダ内の署名されていないまたは未知の実行ファイルの存在
- %TEMP%から作成された新しいカーネルサービスの検出(Sysmon Event ID 6およびEvent ID 7045を使用)
ユーザーへの注意喚起
ユーザーは、公式サイト以外からの税関連フォームやブラウザ更新プログラムのダウンロードを避けるべきです。また、Google検索結果から得た情報も信頼性が低い可能性があるため、常に警戒する必要があります。