رصد باحثو شركة Huntress حملة واسعة النطاق منذ يناير 2026 تستهدف مستخدمين في الولايات المتحدة يبحثون عن نماذج ضريبية مثل W2 وW-9 عبر محركات البحث. الحملة تستغل إعلانات Google الممولة لتوجيه الضحايا إلى مواقع مزيفة مثل bringetax[.]com/humu/، حيث يتم تنزيل نسخة خبيثة من برنامج ScreenConnect (ConnectWise Control).
بمجرد تثبيت النسخة المزيفة، يبدأ المهاجمون في تنفيذ سلسلة هجوم معقدة تتضمن نشر أداة باسم HwAudKiller، وهي أداة قاتلة لأنظمة كشف التهديدات (EDR Killer) تعتمد على تقنية Bring Your Own Vulnerable Driver (BYOVD).
استغلال تعريف هواوي لتعطيل أنظمة الحماية
البرمجية الخبيثة تستغل تعريفاً شرعياً من شركة Huawei مخصص لمكونات الصوت في الحواسيب المحمولة، يحمل اسم HWAuidoOs2Ec.sys. هذا التعريف موقع رسمياً من هواوي، ما يسمح لنظام ويندوز بتحميله دون اعتراض، حتى مع تفعيل خاصية Driver Signature Enforcement (DSE).
بمجرد تحميله، يقوم التعريف بإنهاء العمليات المرتبطة ببرامج الحماية مثل Microsoft Defender وKaspersky وSentinelOne من مستوى النواة، متجاوزاً بذلك أي حماية على مستوى المستخدم. هذه التقنية تمنح المهاجمين قدرة عالية على تعطيل الدفاعات قبل تنفيذ خطوات إضافية مثل سرقة بيانات الدخول من ذاكرة LSASS أو استخدام أدوات مثل NetExec للاستطلاع والتحرك الجانبي داخل الشبكة.
تقنيات التمويه والخداع
الحملة لا تعتمد فقط على البرمجيات الخبيثة، بل تستخدم خدمات تمويه تجارية مثل Adspect وJustCloakIt (JCI) لتجنب اكتشافها من قبل أنظمة الفحص الأمني.
- Adspect يوفر طبقة تمويه عبر جافاسكربت لتوليد بصمة للزائر وتحديد ما إذا كان ضحية حقيقية أو نظام فحص.
- JCI يعمل على مستوى الخادم لتصفية الزوار قبل أن تصلهم الحمولة الخبيثة.
هذا الدمج بين طبقتين من التمويه يجعل من الصعب على أنظمة الأمن اكتشاف النشاط المشبوه، حيث تُعرض صفحات آمنة على الماسحات بينما يحصل الضحايا على النسخة الخبيثة.
أهداف المهاجمين وسيناريوهات الاستغلال
رغم أن الأهداف النهائية للحملة لم تتضح بعد، إلا أن التكتيكات المستخدمة تشير إلى سلوكيات مرتبطة بمرحلة ما قبل هجمات الفدية أو وسطاء الوصول الأولي. المهاجمون قد يسعون إما لنشر برمجيات فدية لاحقاً أو بيع الوصول إلى شبكات المؤسسات لمجرمين آخرين.
كما لوحظ قيامهم بنشر أدوات وصول عن بُعد إضافية مثل FleetDeck Agent لضمان استمرار التحكم حتى في حال تعطيل إحدى القنوات. وفي بعض الحالات، تم تثبيت أكثر من جلسة ScreenConnect تجريبية على نفس الجهاز خلال ساعات قليلة، ما يعكس إصرارهم على ترسيخ وجود دائم.
دلالات أمنية
هذه الحملة تُظهر كيف يمكن لمجرمي الإنترنت بناء سلسلة هجوم متكاملة باستخدام أدوات متاحة تجارياً دون الحاجة إلى استغلالات متقدمة أو قدرات دولة قومية. من خلال دمج خدمات التمويه التجارية، أدوات مجانية مثل ScreenConnect، وبرمجيات تشغيل موقعة من شركات كبرى مثل هواوي، تمكن المهاجمون من تنفيذ هجوم يبدأ من بحث بسيط على Google وينتهي بتعطيل أنظمة الحماية على مستوى النواة.
