Un clic per scaricare un modulo fiscale, dieci minuti per perdere il controllo totale della rete aziendale. La campagna Malvertising W-2 del 2026 ha trasformato Google Ads in un campo minato. Sfruttando l’urgenza di professionisti e PMI, gli attaccanti stanno distribuendo versioni “rogue” di ScreenConnect attraverso siti specchietto protetti da sistemi di cloaking avanzatissimi. Ma la vera minaccia arriva una volta entrati: un payload chiamato HwAudKiller che, grazie alla tecnica BYOVD (Bring Your Own Vulnerable Driver), utilizza un driver audio Huawei firmato per penetrare nel kernel di Windows e “giustiziare” i processi di SentinelOne, Microsoft Defender e Kaspersky. Se il tuo antivirus smette improvvisamente di rispondere mentre compili le tasse, potresti essere l’ultima vittima di un driver audio trasformato in arma.
Cosa leggere
Malvertising Google Ads sfrutta ricerche fiscali W-2
Gli attaccanti utilizzano Google Ads per intercettare ricerche come “W2 tax form” o “W-9 Tax Forms 2026”. Gli utenti vengono indirizzati verso domini malevoli come anukitax.com o bringetax.com, che distribuiscono installer rogue di ScreenConnect mascherati da file fiscali. Il payload viene scaricato come form_w9.msi e installato silenziosamente.
ScreenConnect viene eseguito in versione trial con relay identificati da hostname che iniziano con “instance-”. Questo consente accesso hands-on-keyboard immediato senza exploit. La tecnica scala facilmente e colpisce professionisti e PMI. Huntress ha identificato oltre 60 sessioni rogue, ciascuna rappresenta un punto di ingresso attivo.
Cloaking Adspect e JustCloakIt aggirano controlli sicurezza
La campagna utilizza doppio cloaking con Adspect e JustCloakIt per evitare rilevamento. Adspect esegue fingerprinting avanzato del browser raccogliendo dati come navigator.webdriver, WebGL renderer e presenza di DevTools. Il sistema decide in tempo reale se servire il payload o una pagina pulita.
JustCloakIt opera lato server raccogliendo IP, User-Agent e altri parametri, inviandoli a endpoint remoti per filtrare scanner e sandbox. Questa architettura a due livelli rende difficile il takedown. I bot di sicurezza vedono contenuti innocui mentre gli utenti reali ricevono l’infezione.
ScreenConnect rogue e stacking RMM garantiscono persistenza
Dopo l’accesso iniziale, gli attaccanti implementano stacking RMM installando più relay come instance-itsd8c-relay e instance-sl1mb9-relay nello stesso host. In alcuni casi viene aggiunto anche FleetDeck come backup. Questa ridondanza garantisce persistenza anche se una sessione viene rimossa.Il payload successivo viene eseguito da percorso C:\Windows\SystemTemp\ScreenConnect tramite file crypteds.exe. Questo binario rappresenta il loader principale che prepara l’ambiente per il bypass degli EDR. La presenza di più agent RMM è un chiaro indicatore di compromissione avanzata.
Crypter FatMalloc evade sandbox e antivirus
Il crypter FatMalloc utilizza tecniche avanzate di evasione. Alloca fino a 2 GB di memoria per mandare in errore sandbox e emulatori AV. Se l’operazione fallisce, il processo termina senza eseguire codice malevolo, evitando analisi automatica. L’esecuzione dello shellcode avviene tramite timeSetEvent di winmm.dll, evitando chiamate dirette a CreateThread monitorate dagli EDR. Lo shellcode, lungo oltre 188 KB, è cifrato con XOR e decifrato dinamicamente. Il loader supporta anche payload .NET tramite CLR, rendendo il sistema estremamente flessibile.
Killer EDR kernel-mode usa driver Huawei con tecnica BYOVD
Il payload finale, denominato HwAudKiller, sfrutta un driver audio Huawei firmato per eseguire attacchi BYOVD. Il driver espone un IOCTL vulnerabile (0x2248DC) che consente di terminare processi arbitrari dal kernel. Il tool carica il driver come Havoc.sys e utilizza DeviceIoControl per eliminare processi di sicurezza come MsMpEng.exe, SentinelAgent.exe e componenti Kaspersky. L’operazione avviene completamente in modalità kernel, bypassando ogni protezione user-mode.
Dumping LSASS e movimento laterale dopo kill EDR
Dopo la disattivazione degli EDR, gli attaccanti eseguono dumping di LSASS per ottenere credenziali. Strumenti come NetExec permettono raccolta massiva e accesso ad altri sistemi nella rete. Questa sequenza è tipica di initial access broker o operazioni pre-ransomware. L’obiettivo non è solo l’accesso ma la costruzione di una base per attacchi successivi. La rapidità della catena rende difficile intervenire senza monitoraggio continuo.
Driver vulnerabili abbassano barriera per attaccanti
L’uso di driver firmati come quello Huawei dimostra che non servono zero-day per bypassare difese moderne. La tecnica BYOVD sfrutta componenti legittimi con vulnerabilità note o non documentate. Le organizzazioni devono monitorare caricamenti di driver kernel e attività sospette su device come .\HWAudioX64. Il controllo degli IOCTL diventa un elemento chiave per la difesa. Questo approccio richiede visibilità avanzata a livello kernel.
Implicazioni operative per aziende e professionisti IT
Le aziende devono bloccare domini malevoli e monitorare installazioni di ScreenConnect trial. La presenza di file come crypteds.exe o Havoc.sys deve attivare allarmi immediati. Anche sessioni RMM con prefisso “instance-” vanno considerate sospette. È fondamentale attivare protezioni avanzate, segmentare la rete e applicare il principio di least privilege. La formazione degli utenti resta centrale, soprattutto durante la stagione fiscale, quando la probabilità di clic su annunci malevoli aumenta significativamente.
Malvertising evoluto rende Google Ads vettore di attacco
Servizi commerciali come Adspect permettono campagne di malvertising persistenti e difficili da rilevare. Il modello economico rende accessibili tecniche avanzate anche a gruppi non sofisticati. La combinazione di cloaking, social engineering e exploit indiretti crea una minaccia ibrida. Gli utenti devono diffidare anche dei risultati sponsorizzati e verificare sempre i domini prima di scaricare file.
Conclusioni sulla catena di attacco malvertising W-2
La campagna dimostra come un semplice clic su Google Ads possa portare a compromissione completa del sistema. Dalla ricerca di un modulo fiscale si passa a esecuzione kernel e furto credenziali in pochi minuti. Le organizzazioni devono aggiornare continuamente le strategie di difesa e adottare monitoraggio proattivo. Il rischio non è più teorico ma operativo e diffuso. La velocità di risposta diventa il fattore decisivo per contenere l’impatto.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
