Die Malvertising-Kampagne nutzt eine ausgefeilte Täuschungsstrategie. Wenn Nutzer nach Steuererklärungsformularen wie “W2 tax form” oder “W-9 Tax Forms 2026” suchen, landen sie auf gefälschten Websites wie “bringetax[.]com/humu/”. Um vor Sicherheitsscannern verborgen zu bleiben, setzen die Angreifer auf kommerzielle Verschleierungsdienste: das PHP-basierte Traffic Distribution System Adspect und JustCloakIt (JCI). Diese Services erstellen einen digitalen Fingerabdruck des Besuchers und liefern nur echten Opfern die malware aus – während Sicherheitssysteme eine harmlose Seite sehen.
Einmal heruntergeladen, installiert das ScreenConnect-Installer mehrfach Instanzen auf dem Zielrechner. Die Angreifer setzen zusätzlich auf RMM-Tools wie FleetDeck Agent zur Redundanz und Persistenz. Das eigentliche Schadpotenzial offenbart sich dann im nächsten Schritt: Ein mehrstufiger Crypter deployt das als “HwAudKiller” bekannte EDR-Killer-Tool, das die BYOVD-Technik (Bring Your Own Vulnerable Driver) nutzt.
Das Herzstück dieses Ansatzes ist der Huawei-Treiber “HWAuidoOs2Ec.sys”, ein legitimer, von Huawei signierter Kernel-Treiber für Laptop-Audio-Hardware. Windows lädt diesen Treiber ohne Sicherheitsbedenken, obwohl Driver Signature Enforcement (DSE) aktiv ist. Der Treiber kann Prozesse auf Kernel-Ebene beenden und umgeht damit alle Schutzmaßnahmen, die Sicherheitsprodukte auf User-Mode-Ebene bieten.
Zusätzlich nutzt der Crypter eine Verschleierungstaktik: Er alloziiert 2 GB Speicher, füllt diesen mit Nullen und gibt ihn wieder frei. Dies verursacht Ressourcenerschöpfung, die Antivirus-Engine und Emulatoren zum Absturz bringt.
Die Ermittlungen deuten auf russischsprachige Entwickler hin: In einer offengelegten Verzeichnisstruktur der Angreifer fand sich eine gefälschte Chrome-Update-Seite mit JavaScript-Code in russischen Kommentaren. “Diese Kampagne zeigt, wie kommerziell verfügbare Tools die Hürde für hochsophistizierte Angriffe senken”, erklärt Huntress-Researcher Anna Pham. Die Angreifer kombinierten einfach verfügbare Services, kostenlose ScreenConnect-Instanzen, Off-the-Shelf-Crypter und einen Huawei-Treiber mit bekannter Schwachstelle zu einem funktionalen Kill-Chain – von der Google-Suche zur Kernel-Mode-EDR-Deaktivierung.
Die Ziele der Kampagne sind noch unklar, doch sprechen die Taktiken für Ransomware-Vorbereitung oder den Verkauf von Zugangsrechten an andere Cyberkriminelle. Ein dokumentierter Fall zeigt, dass Angreifer nach dem Kompromittieren Credentials aus dem LSASS-Prozess dumpften und Tools wie NetExec für Netzwerk-Aufklärung einsetzten.