Une campagne massive de dumping qui a été détectée au début de 2026 a profité de la recherche de documents fiscaux pour amener les victimes aux États-Unis aux installateurs malveillants qui livrent un tueur de solution de sécurité en mode noyau. Selon l'analyse publiée par la société de cybersécurité Huntress, les annonces sponsorisées redirigées vers des pages de trickster qui distribuaient des installateurs ConnectWise ScreenConnect (aussi connu sous le nom de ConnectWise Control) et, de là, ont déployé une chaîne d'attaque conçue pour les défenses de pointes aveugles avant d'avancer sur l'engagement. Vous pouvez lire le rapport technique de Huntress ici: Chasse - W2 maldumping au mode noyau EDR tuer.
Ce qui rend cette opération particulièrement dangereuse n'est pas seulement l'utilisation de l'ingénierie sociale sur les questions fiscales, mais la combinaison d'outils commerciaux et de composants légitimes. Les attaquants ont utilisé des services d'atterrissage commerciaux pour rendre les scanners et les systèmes d'examen publicitaire voir une page inoffensive, tandis que les personnes réelles ont reçu l'installateur malveillant. Selon Huntress, l'infrastructure comprenait au moins deux couches de dissimulation : l'une basée sur Adspect et l'autre basée sur JustCloakIt, qui ensemble vérifient les impressions du visiteur et décident du contenu à servir. Ce type de TDS (Traffic Distribution System) leur a permis d'éviter les détections automatiques et la mise au point.
La partie critique de la chaîne malveillante est un module que les chercheurs ont nommé HwAudKiller. Ce composant profite d'une technique connue sous le nom de "Bring Your Own Vulnerable Driver" (BYOVD), dans laquelle un contrôleur légitime et signé est chargé qui contient des vulnérabilités utilisables pour exécuter des actions du noyau. Dans ce cas, le pilote signé par un fabricant de matériel audio connu - le fichier HWAuidoOs2EC.sys - a été identifié et utilisé pour terminer les processus de produits de sécurité en mode noyau, chose que les contrôles de l'espace utilisateur ne peuvent pas facilement empêcher.
L'ingénierie derrière l'abus des contrôleurs signés est simple dans son approche et alarmante dans ses conséquences: Windows permet de charger les pilotes signés sans sauter la vérification de signature (Driver Signature Enforcement). Si un attaquant trouve un contrôleur légitime qui a des fonctions qui peuvent être mal utilisées - par exemple, la capacité de terminer les processus à partir du noyau - vous pouvez l'utiliser pour désactiver les EDR et antivirus, ouvrant la porte à des tâches ultérieures telles que les identifiants ou les mouvements latéraux.
Une fois que la persistance initiale avec les instances ScreenConnect a été atteinte, les opérateurs ont déployé d'autres outils de gestion à distance et de redondance, y compris plusieurs instances de test ScreenConnect et des agents RMM comme FleetDeck, afin de ne pas perdre l'accès si une instance était détectée. En outre, au moins un incident a observé le renversement de la mémoire du processus LSASS et l'utilisation d'utilitaires d'audit et de mouvement latéral tels que Exec net. Ces actions cadrent avec les comportements observés chez les acteurs qui préparent le terrain à déployer des ransomwares ou à vendre l'accès sur les marchés clandestins.
Les agresseurs ont également tenté d'échapper aux plates-formes de détection au moyen de techniques d'obfuscation et d'abus des ressources. Le cryptomètre utilisé par les opérateurs a assigné et rempli deux gigaoctets de mémoire avec des zéros et a ensuite libéré ce bloc, un truc conçu pour faire des émulateurs et des bacs à sable échouent par une consommation élevée de mémoire et ainsi réduire la probabilité de détection par analyse dynamique.
Parmi les indicateurs techniques, il y a un autre détail intéressant: dans un dossier public dans l'infrastructure de l'agresseur une fausse page de mise à jour Chrome est apparue avec les commentaires russes sur le code JavaScript, suggérant la participation d'un développeur russophone ou l'utilisation d'outils disponibles dans cette communauté. Cela ne constitue pas une attribution définitive, mais il fournit des indices sur l'origine de l'outil social et technique utilisé pour tromper les victimes.
Cette affaire montre une tendance inquiétante: La combinaison de services commerciaux, d'outils d'accès à distance gratuits ou testés, de cryptographes hors boîte et de contrôleurs signés mais non sécurisés permet aux acteurs disposant de ressources modestes de monter des chaînes d'attaque sophistiquées sans exploiter les vulnérabilités à jour ou leurs propres capacités d'État-nation. Huntress résume ce fait en soulignant que la barrière d'entrée pour les opérations avancées a été réduite en combinant des composantes du marché.
Que peuvent faire les entreprises et les utilisateurs pour réduire le risque de telles attaques? Tout d'abord, il convient de renforcer les contrôles sur l'installation de logiciels distants et d'examiner toute apparition inattendue de connexions ScreenConnect entrantes ou d'outils RMM. Dans les environnements d'entreprise, l'application des politiques de contrôle des conducteurs et de la liste blanche des conducteurs contribue à atténuer l'abus des composants signés; Microsoft documente les politiques de signature des pilotes dans sa documentation technique sur la signature de code en mode noyau Voilà.. Il est également recommandé de permettre aux technologies de protection des références telles que Creative Guard de rendre difficile pour LSASS ( Documentation Microsoft).
Au niveau opérationnel, bloquer les domaines et les schémas observés dans les chaînes de distribution, restreindre l'exécution des installateurs téléchargés à partir de publicités sponsorisées, segmenter le réseau et appliquer une surveillance qui détecte l'installation ou l'exécution inhabituelle de plusieurs agents distants sont des mesures efficaces. Afin de se défendre contre les techniques d'évitement telles que celles décrites par le cryptographe, il est important d'avoir des solutions de sécurité qui intègrent la télémétrie en plusieurs couches (point d'arrivée, réseau et nuage) et ne dépendent pas seulement de l'analyse statique ou des boîtes à sable avec des ressources limitées. Les organisations devraient également maintenir des politiques d'éducation pour les employés sur les risques de suivre des liens parrainés qui promettent des documents fiscaux et vérifient toujours la légitimité des domaines et des certificats.
Pour comprendre le contexte tactique, on peut trouver des références publiques sur les techniques de vol d'identité et les mouvements latéraux, comme le catalogue MITRE ATT & CK pour «Dumping créatif» ( MITRE ATT & CK - T1003) qui permet de corréler les indicateurs et les tactiques utilisés par les attaquants.
Bref, la campagne détectée par Huntress est un appel de réveil : non seulement elle démontre à nouveau l'efficacité du fraisage contre les utilisateurs à la recherche de services légitimes (tels que les formulaires fiscaux), mais elle montre comment la réutilisation de logiciels légitimes avec des défaillances peut devenir une arme puissante lorsqu'elle est combinée avec des services commerciaux de blanchisserie et des outils d'accès à distance. La défense d'aujourd'hui nécessite une stratégie qui va au-delà de la signature des pilotes ou de l'analyse de bac à sable : elle nécessite des contrôles de performance, une segmentation, une détection multiniveaux et une bonne hygiène numérique par les utilisateurs.
Si vous souhaitez approfondir les détails techniques et les indicateurs observés par les chercheurs, vérifiez le rapport Huntress mentionné ci-dessus et envisagez de revoir vos dossiers de télémétrie pour rechercher les modèles d'installation de ScreenConnect, les connexions aux domaines suspects et la présence de pilotes inhabituels dans les hôtes.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...