O campanie de cryptojacking care vizează sisteme cu performanțe ridicate se răspândește printr-o operațiune coordonată de SEO poisoning și, potrivit Microsoft, a ajuns în unele cazuri și în recomandări generate de chatboturi AI. Ținta principală o reprezintă utilizatorii care caută utilitare populare pentru monitorizare, diagnostic sau instalare de componente software, iar atacul este construit pentru a maximiza randamentul minării pe GPU, nu pentru a infecta cât mai multe dispozitive posibil.
Potrivit cercetătorilor Microsoft, campania pornește de la pagini de descărcare malițioase pentru programe folosite frecvent pe sisteme puternice, precum CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack și PDFgear. În unele rapoarte din aprilie, utilizatorii au fost direcționați către domenii controlate de atacatori după interacțiunea cu asistenți bazați pe AI, iar Microsoft afirmă că, în aceste cazuri, întrebările despre recomandări de software au dus la linkuri către domenii malițioase în răspunsurile generate.
Cum funcționează lanțul de infectare
Conform Microsoft, fișierul descărcat este un arhivă ZIP găzduită pe un subdomeniu al gleeze[.]com, un domeniu asociat anterior cu site-uri de phishing. Arhiva include executabilul legitim al utilitarului vizat, dar și o bibliotecă DLL malițioasă care este încărcată automat la pornirea binarului benign. Această bibliotecă folosește msiexec.exe pentru a instala vcredist_x64.dll, un pachet folosit ca instalator pentru instrumentul de acces de la distanță ScreenConnect.
După stabilirea unei sesiuni ScreenConnect pe clientul compromis, atacatorii livrează un alt binar, SimpleRunPE.exe, care se copiază ca RuntimeHost.exe într-un folder ascuns în Explorer. Microsoft spune că scopul acestuia este să creeze șase mecanisme de persistență în mai multe locații de autostart din Windows. În unele cazuri, binarul este livrat printr-un script PowerShell malițios și salvat local ca vlc.exe, încercând să imite executabilul playerului VideoLAN.
Tehnici de evitare a detecției
Pe baza căii PDB a fișierului SimpleRunPE.exe, cercetătorii cred că acesta este un derivat al unui repository public demonstrativ pentru tehnica de process hollowing. Atacatorul a folosit și procesul de injectare pentru a se ascunde în binare .NET legitime, semnate de Microsoft, precum InstallUtil.exe, RegAsm.exe, RegSvcs.exe, MSBuild.exe, AppLaunch.exe, AddInProcess.exe și aspnet_compiler.exe.
În același scop, malware-ul apelează PowerShell pentru a adăuga propria cale și propriul proces în lista de excluderi din Microsoft Defender. Codul verifică, de asemenea, dacă rulează într-o mașină virtuală și caută 40 de nume de procese asociate instrumentelor de analiză. Dacă detectează astfel de semne, execuția este oprită.
Minarea propriu-zisă și miza campaniei
După etapa de process hollowing și rularea în interiorul unui utilitar Windows semnat de Microsoft, campania descarcă și execută unul dintre trei module de minare: gminer, lolMiner sau SRBMiner-MULTI. Toate sunt concepute pentru a folosi GPU-urile, ceea ce explică de ce atacatorii par să urmărească în special sisteme cu hardware performant.
Microsoft descrie această operațiune drept una construită „de la zero” pentru a maximiza randamentul minării pe dispozitiv compromis, nu pentru a urmări volum mare de infectări. Pentru organizații, asta înseamnă că riscul nu se limitează la consum crescut de resurse sau la scăderea performanței, ci include și acces persistent pe sistem, care poate fi folosit ulterior pentru instalarea altor programe malițioase.
Ce pot face organizațiile
Microsoft spune că, pe lângă protecțiile oferite de propriile instrumente, organizațiile pot folosi indicatorii de compromitere incluși în raport pentru a-și verifica mediile. Într-un context în care căutările online și răspunsurile generate de AI pot trimite utilizatorii către domenii false, verificarea sursei de descărcare și a reputației domeniului rămâne esențială.
Campania arată și cum tacticile clasice de distribuție malware, precum SEO poisoning, se combină cu canale noi de descoperire a conținutului, inclusiv chatboturi AI. Pentru utilizatori și administratori IT, diferența dintre un utilitar legitim și o pagină clonată poate fi suficient de mică încât să facă din verificarea atentă a linkurilor o măsură de bază, nu opțională.
