概要

Huntress リサーチャーのアナ・ファムは、1月から活動している大規模な不正広告キャンペーンについて報告しました。このキャンペーンでは、米国の個人が税関連文書を検索する際、Google アドワーズを通じて偽の ScreenConnect インストーラーを配布し、セキュリティツールを無効化するマルウェア「HwAudKiller」を配布しています。

攻撃手法

このキャンペーンは、Google アドワーズを通じて偽の ScreenConnect インストーラーを配布し、ユーザーが「W2 税申告書」や「W-9 税申告書 2026」などの検索キーワードで検索した際に悪意のあるサイトに誘導します。これらのサイトは Adspect という商用クローキングサービスによって保護されており、セキュリティスキャナや広告レビューシステムに対して偽のページを表示し、実際の被害者だけがマルウェア配布ページを見ることができます。

マルウェアの詳細

HwAudKiller は、合法的に署名された Huawei のオーディオドライバ「HWAuidoOs2Ec.sys」を使用して、Microsoft Defender や Kaspersky、SentinelOne などのセキュリティ製品を無効化します。このドライバは、ユーザーモードの保護をバイパスし、ターゲットプロセスを終了することができます。

攻撃チェーン

攻撃者は ScreenConnect インストーラーを使用してマルウェア配布を行い、さらに FleetDeck Agent などのリモート監視と管理ツールをインストールすることで、持続的なリモートアクセスを確保します。また、LSASS プロセスメモリーから資格情報を抽出したり、ネットワークの横展開を行うなど、ランサムウェア配布や他の犯罪者への売却を目的としています。

結論

このキャンペーンは、商用ツールが高度な攻撃を容易にすることを示しています。攻撃者は独自のエクスプロイトや国家レベルの能力を持つ必要はありませんでした。Adspect と JustCloakIt の商用クローキングサービス、無料の ScreenConnect インスタンス、オフザシェルフの暗号化ツール、そして脆弱性のある Huawei ドライバを使用して、Google 検索からカーネルモード EDR 終了までの完全な攻撃チェーンを構築しました。

元記事: https://thehackernews.com/2026/03/tax-search-ads-deliver-screenconnect.html