Terrore della stagione fiscale: annunci malevoli scatenano killer EDR furtivi su americani ignari

È stagione delle tasse in America - un periodo tristemente noto per stress, scartoffie e, ora, un’ondata sofisticata di cyberattacchi. Mentre milioni di contribuenti cercano online i moduli W-2 e W-9, gli attori della minaccia stanno sfruttando questa corsa annuale, infilando annunci malevoli nei risultati di ricerca di Google che aprono la porta a devastanti violazioni di rete. Dietro le quinte, questi criminali non si limitano a rubare dati - portano le proprie armi digitali, disabilitano la sicurezza e preparano il terreno per assalti ransomware su larga scala.

Dentro l’attacco: dagli annunci Google al compromesso totale

La campagna, scoperta da Huntress, è attiva almeno da gennaio 2026. Gli attaccanti acquistano Google Ads che si mascherano da link a documenti fiscali ufficiali. Utenti ignari vengono indotti a scaricare una versione fasulla di ScreenConnect - un legittimo strumento di accesso remoto - consegnando inconsapevolmente le chiavi dei propri sistemi.

Per eludere la revisione degli annunci di Google, i criminali usano servizi di cloaking commerciali come Adspect e JustCloakIt. Questi servizi mostrano una pagina innocua agli scanner automatizzati, ma reindirizzano gli utenti reali verso il malware. Una volta dentro, gli attaccanti garantiscono la persistenza installando più relay di ScreenConnect e strumenti di accesso di riserva. Anche se i difensori ne rimuovono uno, gli altri mantengono aperta la backdoor.

La fase successiva coinvolge un subdolo malware soprannominato FatMalloc. Questo crypter consuma enormi quantità di memoria del computer, mandando in sovraccarico gli emulatori degli antivirus fino a farli andare in timeout e perdere la minaccia. Nasconde il proprio codice reale usando esecuzione indiretta - come l’API del timer multimediale di Windows - e offusca le sue funzioni anteponendo prefissi alle chiamate API, rendendo il rilevamento ancora più difficile.

Il payload finale è dove le cose diventano davvero pericolose. Gli attaccanti rilasciano nel sistema un driver audio Huawei legittimo e firmato digitalmente (HWAudioOs2Ec.sys). Questo driver, pensato per l’hardware audio, contiene un difetto fatale: può terminare qualsiasi processo con privilegi a livello kernel. Il malware, chiamato HwAudKiller, sfrutta questa debolezza per uccidere sistematicamente gli agenti di endpoint detection and response (EDR) di fornitori come Microsoft, SentinelOne e Kaspersky, lasciando il sistema indifeso.

Con la sicurezza accecata, gli attaccanti si muovono rapidamente - estraggono password dalla memoria, si spostano lateralmente nelle reti e preparano il terreno per ulteriori sfruttamenti. I ricercatori di Huntress hanno trovato indizi che puntano a sviluppatori russofoni, inclusi commenti in cirillico su pagine correlate di falsi aggiornamenti di Chrome.

Difendersi dal nemico invisibile

Questa campagna è un campanello d’allarme per organizzazioni e singoli individui. L’uso di strumenti e driver legittimi, combinato con tattiche avanzate di evasione, rende il rilevamento e la prevenzione una sfida formidabile. I team di sicurezza sono invitati a monitorare la presenza di software di accesso remoto non autorizzato, indagare su eventuali driver insoliti caricati da cartelle temporanee e restare vigili - soprattutto durante periodi ad alto rischio come la stagione fiscale.

Man mano che i cybercriminali continuano a innovare, la migliore difesa è stratificata, adattiva e sempre vigile. Nel mondo digitale, persino una ricerca di routine di moduli fiscali può diventare l’atto d’apertura di un dramma di cybercrime.

WIKICROOK

• Malvertising: Il malvertising è l’uso di annunci online per diffondere malware, spesso ingannando gli utenti a cliccare su link dannosi - anche su siti web considerati affidabili.
• BYOVD (Bring Your Own Vulnerable Driver): BYOVD è un cyberattacco in cui gli hacker usano driver legittimi ma insicuri per aggirare il software di sicurezza e ottenere il controllo di un sistema informatico.
• EDR (Endpoint Detection and Response): L’EDR è un software di sicurezza che monitora i dispositivi endpoint per attività sospette, rileva le minacce in tempo reale e aiuta a fermare rapidamente i cyberattacchi.
• Servizio di cloaking: Un servizio di cloaking nasconde il vero contenuto di un sito web agli strumenti di sicurezza, mostrando materiale malevolo solo agli utenti reali per eludere il rilevamento e consentire cyberattacchi.
• Crypter: Un crypter è un software che nasconde il codice del malware, aiutandolo a eludere il rilevamento da parte di antivirus e programmi di sicurezza durante i cyberattacchi.