美国人一搜“W2税表”或“W-9 Tax Forms 2026”,就可能踩坑。
从1月开始,一场大规模恶意广告活动盯上了谷歌搜索税表的人。点击赞助链接后,用户被带到伪造站点,比如bringetax[.]com/humu/,下载的却是ConnectWise ScreenConnect的假安装包。Huntress研究员Anna Pham上周报告显示,这条链路直接把BYOVD式EDR杀手HwAudKiller扔进受害者机器,已确认超过60个恶意ScreenConnect会话。
整个攻击最狠的地方在于两层伪装。先用商业流量分发系统Adspect,再叠加JustCloakIt。服务器端JCI先过滤,客户端再跑Adspect的JavaScript指纹识别。只有真用户才能看到真载荷,安全扫描器和广告审核系统拿到的永远是干净页面。这招让检测难度直线上升。
安装完ScreenConnect后,攻击者不急着动手。先多开几个试用实例,有时几小时内就堆两三个。同时扔进FleetDeck Agent这类RMM工具,确保远程通道不断。接着才是重头戏:一个多阶段加壳器登场,分配2GB全零内存再释放,直接卡死杀软模拟器。然后HwAudKiller上场,它调用一个合法签名的华为音频驱动HWAuidoOs2Ec.sys,从内核态直接干掉Microsoft Defender、Kaspersky、SentinelOne等进程。驱动签名是华为的,Windows驱动签名强制下照样加载无压力。
一次真实案例里,攻击者拿到权限后立刻dump LSASS内存拿凭证,还用NetExec做网络侦察和横向移动。这些动作跟前勒索软件或初始访问经纪人高度吻合。目的要么自己上勒索软件,要么把通道卖给下家。
更扎眼的是基础设施里一个暴露的开放目录,里面藏着假Chrome更新页面,JavaScript注释全是俄语。这暗示背后操盘的是俄语开发者,手里有一整套社会工程工具包。
攻击者没写零日,没搞国家队级别武器,就靠现成玩意儿:Adspect和JustCloakIt两层商业伪装、免费ScreenConnect试用、现成加壳器、带漏洞的华为签名驱动,拼出一条从谷歌搜索直达内核EDR失明的完整杀链。门槛低到让人后背发凉。
类似手法在税季特别凶。去年微软也点出过税主题诱饵,但这次多了双层商业TDS和华为BYOVD,隐蔽性又上一个台阶。受害者多是美国普通纳税人,搜索税表时一不留神就中招。
目前还不知道具体团伙身份,但Huntress强调,这种商品化工具的组合正让普通攻击者也能玩出高级活。远程访问工具快速堆叠的模式在多个主机上反复出现,说明攻击者很清楚要先稳住通道再动手。
加密市场今天整体承压。BTC现报$69,290(跌2.41%),ETH现报$2,109(跌1.96%)。安全事件频发,总让机构和散户对链上资产的保护更敏感几分。税季还没结束,这波广告攻击大概率还会继续。用户搜税表时,宁可直接进官网,也别点赞助链接。一步错,后果可能就是整台机器被远程掌控,凭证外泄,网络被横扫。
攻击链条简单却高效,从搜索广告到内核态禁用EDR,只用了几款现成工具。现实就是这样,威胁不再需要高精尖技术,拼的是谁更快把商品化武器搭成杀链。