Campanha de malvertising visa usuários em busca de documentos fiscais nos EUA

BR Defense Center (By River de Morais e Silva)
malware

Uma campanha de malvertising em larga escala, ativa desde janeiro de 2026, está direcionada a indivíduos nos EUA que buscam documentos fiscais, utilizando anúncios fraudulentos para instalar o ConnectWise ScreenConnect. Essa instalação entrega uma ferramenta chamada HwAudKiller, que utiliza a técnica de ‘bring your own vulnerable driver’ (BYOVD) para desativar programas de segurança. A pesquisa da Huntress identificou mais de 60 sessões maliciosas do ScreenConnect ligadas a essa campanha. O ataque se destaca por empregar serviços de camuflagem comercial para evitar a detecção e por abusar de um driver de áudio da Huawei, que é legítimo e assinado, para desarmar soluções de segurança. Embora os objetivos exatos da campanha não sejam claros, há indícios de que o ator da ameaça busca implantar ransomware ou monetizar o acesso obtido. O ataque começa quando usuários clicam em resultados de busca patrocinados que os direcionam a sites falsos, onde o instalador do ScreenConnect é entregue. A complexidade da campanha, que combina ferramentas comerciais e técnicas sofisticadas, destaca a crescente acessibilidade de ataques cibernéticos avançados.

Fonte: https://thehackernews.com/2026/03/tax-search-ads-deliver-screenconnect.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
24/03/2026 • Risco: ALTO
MALWARE

Campanha de malvertising visa usuários em busca de documentos fiscais nos EUA

RESUMO EXECUTIVO
A campanha de malvertising destaca a vulnerabilidade de usuários em busca de informações fiscais e a utilização de técnicas avançadas para comprometer sistemas. A combinação de ferramentas comerciais e a exploração de drivers legítimos aumentam o risco para empresas que utilizam soluções de segurança comuns.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais perdas financeiras devido a ransomware e roubo de dados.
Operacional
Desativação de ferramentas de segurança e possível roubo de credenciais.
Setores vulneráveis
['Setor financeiro', 'Setor de tecnologia', 'Setor de serviços']

📊 INDICADORES CHAVE

Mais de 60 sessões maliciosas do ScreenConnect identificadas. Indicador
Uso de um driver legítimo da Huawei para desativar segurança. Contexto BR
Campanha ativa desde janeiro de 2026. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de acesso e atividades suspeitas em sistemas que utilizam o ConnectWise.
2 Implementar monitoramento rigoroso e atualizações de segurança para ferramentas de EDR.
3 Monitorar continuamente o tráfego de rede e tentativas de acesso não autorizado.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a facilidade de execução de ataques sofisticados que podem comprometer a segurança de suas organizações.

⚖️ COMPLIANCE

Implicações legais e de conformidade com a LGPD em caso de vazamento de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).