Google 赞助搜索被滥用,与华卫内核驱动器一起部署屏幕连接RAT,以终止EDR

自2026年1月以来,一个复杂的错误广告运动一直在利用Google赞助的搜索结果来提供含有EMDR失能内核驱动器的无赖连接Wise Campconect安装装置,其目标针对的是美国用户,他们通过多层隐形基础设施寻找税务准备文件,自动安全扫描失败。 该运动由狩猎安全研究人员记录,利用商业隐形服务专门为真正的人类访客提供恶意内容,同时向安全爬行和广告核查系统展示良性网页。 最初的感染病媒始于用户在谷歌上寻找与税收有关的通用术语,包括W2表格和W9文件,引发受赞助的搜索广告,将交通直接传送到域基础设施,包括gametax.com和为交付攻击有效载荷而配置的相关路径。 着陆页受到堆叠的隐形建筑的保护,这种结构将两个单独的商业服务结合起来。 第一层利用Adspet,这是一个交通分配系统,可生成来访者的指纹,并根据来访者似乎是安全扫描仪还是真正的目标作出实时交付决定。 第二层由JustCloakIt提供动力,这是服务器侧掩蔽服务,提供了额外的过滤步骤。 这两个服务都嵌入同一个PHP着陆页,建立一个多阶段大门,确保恶意软件分发基础设施在自动分析方面仍然不透明,同时最大限度地提高实际受害者的交付率。 碎裂的系统接收连接Wise屏幕connect安装器,威胁行为者使用这些装置建立持久性远程访问会话。 研究人员记录了与该运动有关的60多次不同的恶意屏幕联系会议,操作员迅速将多个案件堆积在单个主机上——在最初进入后数小时内再部署两三个审判设施以确保冗余。 该运动还部署补充远程监测和管理工具,特别是舰队Deck代理,以提供后备通道。 攻击者在固定的远程会话内执行一个多阶段加密器,提供EDR终止工具,称为HwAudKiller。 这一工具利用合法签名的Huawei内核模式音频驱动器HWAUidoOs2Ec.sys绕过视窗司机签名执法系统,实现核心执行。 从内核模式出发,司机终止与微软防御系统、Kaspersky和Sentinelone安保产品有关的流程,完全停止终端保护,而不会触发用户模式安全控制,否则会发现或阻止这类活动。 攻击链还包括通过从地方安保局分系统事务处流程记忆中提取证据盗窃,以及部署网络侦察工具,包括用于连接系统的横向移动的NetExec。 所观察到的所有行为——EDR杀人、持证采伐和内部网络制图——与最初进入经纪人活动(Osomware)或向犯罪子公司转售受损的网络连接一致。 对暴露基础设施的分析显示,在威胁行为者的控制环境中有一个假冒的铬更新页面,其中载有带有俄文评论的JavaScript代码,表明一名讲俄语的开发商参与建造或维护社会工程工具包。 尽管有这一法医迹象,但尚未确定属于具体指明的威胁集团。 这场运动说明商品工具是如何大幅度降低实施尖端攻击的技术障碍的。 威胁行为体不需要习惯剥削或民族国家能力——他们聚集了商业上可利用的隐蔽服务、自由层屏幕控制实例、一个现成加密人以及一名合法签名的华威驾驶员等全杀链,其中有一个内核脆弱性可用于经发报告绕行。 其结果是,通过赞助的搜索结果可实现一个功能完全有效的攻击基础设施,从而从最初点击到开发后持久性等每个阶段都绕过大多数企业安全堆叠的探测。