Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Tax Search Ads Deliver ScreenConnect Malware Using Huawei Driver to Disable EDR

1 minute de lecture

Mis à jour :

Campagne de malvertising : Utilisation de drivers vulnérables pour neutraliser l’EDR

Une campagne de publicité malveillante (malvertising) cible les utilisateurs recherchant des documents fiscaux américains via Google Ads. En utilisant des techniques sophistiquées de dissimulation, les attaquants compromettent les terminaux pour y déployer des outils d’accès à distance et neutraliser les protections de sécurité.

Points clés :

  • Vecteur d’attaque : Publicités Google redirigeant vers des sites frauduleux proposant de faux installateurs de logiciels (ConnectWise ScreenConnect).
  • Technique d’évasion : Utilisation de services de cloaking (Adspect et JustCloakIt) pour présenter un contenu sain aux robots d’indexation tout en affichant la charge malveillante aux victimes.
  • Neutralisation EDR : Déploiement de HwAudKiller, un outil exploitant la technique BYOVD (Bring Your Own Vulnerable Driver).
  • Objectif : Accès initial en vue d’une exfiltration de données (LSASS), mouvement latéral via NetExec ou préparation à une attaque par ransomware.

Vulnérabilité exploitée :

  • BYOVD (Bring Your Own Vulnerable Driver) : Exploitation du driver audio Huawei légitimement signé (HWAuidoOs2Ec.sys). Le pilote permet d’exécuter du code en mode noyau pour arrêter les processus de sécurité (Microsoft Defender, Kaspersky, SentinelOne), contournant ainsi les protections utilisateur. (Aucun identifiant CVE spécifique n’est associé à cette exploitation de driver, car elle repose sur une fonctionnalité détournée plutôt que sur une faille logicielle directe).

Recommandations :

  • Sensibilisation : Inciter les utilisateurs à la prudence face aux résultats sponsorisés des moteurs de recherche lors de téléchargements de logiciels.
  • Gestion des pilotes : Utiliser des solutions de sécurité capables de détecter le chargement de pilotes vulnérables connus (liste noire des drivers) et restreindre les droits d’installation de pilotes au niveau du noyau.
  • Surveillance EDR/RMM : Surveiller l’installation inattendue d’outils de prise en main à distance (RMM) tels que ScreenConnect ou FleetDeck et auditer les alertes liées à l’arrêt forcé de processus de sécurité.
  • Cloaking : Bloquer ou filtrer le trafic lié aux services de redirection et de cloaking connus si les politiques de sécurité réseau le permettent.

Source

Vous pourriez aimer