駭客假借提供美國報稅表單從事網釣，意圖藉由惡意廣告於民眾電腦植入遠端管理工具，並癱瘓防毒軟體運作

資安公司Huntress揭露結合惡意廣告的報稅季攻擊行動，駭客利用W-2與W-9報稅表單的關鍵字投放Google廣告，引導使用者下載惡意工具，最終從作業系統的核心模式中止EDR運作。

這波活動自2026年初開始，駭客透過搜尋引擎廣告將受害者導向偽造網站，並採用「雙重隱匿（dual cloaking）」技術，藉由伺服器端的工具JustCloakIt，並搭配用戶端工具Adspect，依據使用者環境動態顯示正常或惡意內容，使得Google的廣告審查員、資安掃描工具，以及研究人員只會看到沒有問題的網頁，僅有受害者會接觸到惡意廣告。

一旦使用者點擊廣告，駭客會佯稱提供報稅相關的應用程式，誘導下載ScreenConnect等遠端管理軟體，讓攻擊者取得初步存取權，接著投放惡意程式，以進行後滲透的操作。值得一提的是，這些駭客於受害電腦建立多個ScreenConnect，並同時使用名為FleetDeck的工具作為備援的通訊管道。

值得留意的是，為了讓後續攻擊順利進行，駭客透過自帶驅動程式（BYOVD）手法，載入華為舊版驅動程式，藉此取得核心層權限，並癱瘓防毒軟體與EDR的運作。