Microsoft обнаружила кампанию криптоджекинга, нацеленную на GPU, которая использовала отравление SEO и, в некоторых случаях, рекомендации ПО от чат-ботов с ИИ для распространения вредоносного ПО, замаскированного под популярные утилиты, такие как HWMonitor и CrystalDiskInfo. — tomshardware.com
Microsoft обнаружила продолжающуюся кампанию криптоджекинга, которая использовала отравление поисковой выдачи (SEO poisoning) и, в некоторых зафиксированных случаях, рекомендации программного обеспечения, сгенерированные чат-ботами с ИИ, чтобы заманить пользователей в загрузку вредоносного ПО для майнинга на GPU, замаскированного под популярные утилиты для ПК. Согласно подробному отчету об угрозе, опубликованному во вторник экспертами Microsoft Defender и исследовательской группой Microsoft Defender Security, эта операция была нацелена конкретно на пользователей, которые, вероятно, владеют высокопроизводительными графическими картами, включая геймеров, энтузиастов аппаратного обеспечения, пользователей ИИ и оверклокеров. Кампания выдавала себя за широко используемые утилиты, такие как CrystalDiskInfo, HWMonitor, Display Driver Uninstaller (DDU), FurMark, K-Lite Codec Pack и PDFgear. Сообщается, что жертвы, искавшие это ПО в традиционных поисковых системах — и в некоторых случаях через рекомендации ИИ-чат-ботов — перенаправлялись на страницы загрузки, контролируемые злоумышленниками, где размещались вредоносные ZIP-архивы. Microsoft заявляет, что злоумышленники, по-видимому, менее заинтересованы в максимизации объемов заражения и больше сосредоточены на компрометации систем с мощными дискретными GPU, подходящими для прибыльного майнинга криптовалют. После установки вредоносное ПО развертывало постоянное ПО для удаленного доступа, используя легитимный инструмент удаленного управления ScreenConnect, а затем незаметно загружало полезные нагрузки для майнинга на GPU, такие как lolMiner, gminer и SRBMiner-MULTI. Цепочка атак в значительной степени полагалась на методы скрытности, обычно ассоциируемые с более продвинутыми операциями вредоносного ПО. Загруженные архивы содержали легитимные установщики программного обеспечения вместе с вредоносными DLL-библиотеками, которые автоматически загружались через внедрение DLL (DLL sideloading). Оттуда вредоносное ПО устанавливало шесть отдельных механизмов сохранения, добавляло исключения Microsoft Defender, проверяло наличие виртуальных машин и инструментов безопасности и использовало технику “выдалбливания процессов” (process hollowing) для внедрения кода майнинга в доверенные утилиты .NET с подписью Microsoft, такие как MSBuild.exe, InstallUtil.exe и RegAsm.exe. Однако, возможно, самым необычным аспектом кампании является наблюдение Microsoft о том, что некоторые вредоносные домены могли появиться в результате взаимодействия с ИИ-чат-ботами. По данным компании, пользователям, запрашивавшим рекомендации по загрузке программного обеспечения у ассистентов на базе больших языковых моделей (LLM), в некоторых случаях предлагались ссылки на контролируемые злоумышленниками домены, встроенные в сгенерированные ответы. Microsoft подчеркнула, что этот пример является иллюстративным и «не указывает на системную проблему с какой-либо конкретной услугой ИИ», но отметила, что эта активность соответствует новым методам отравления поиска с помощью ИИ. Согласно анализу Microsoft, операция активна как минимум с марта 2026 года и включала более 150 вредоносных доменов, маскирующихся под доверенные порталы для загрузки утилит. Многие загрузки размещались на субдоменах gleeze.com — инфраструктуре, связанной с сервисом динамических DNS Dynu, который часто использовался в прошлых кампаниях фишинга и вредоносного ПО. Сам начальный процесс заражения был обманчиво прост. Жертвы загружали ZIP-архивы, содержащие как исполняемый файл легитимной утилиты, так и вредоносную DLL с именем autorun.dll. Когда запускалось легитимное приложение, Windows автоматически загружала вредоносную DLL из того же каталога через внедрение DLL — давнюю технику злоупотребления Windows, которая не требует эксплойта программного обеспечения и часто не оставляет видимых признаков компрометации. Оттуда вредоносное ПО незаметно устанавливало ScreenConnect — легитимную корпоративную платформу удаленного управления, также известную как ConnectWise Control. Microsoft подчеркнула, что сам ScreenConnect не является вредоносным, а скорее используется злоумышленниками точно так же, как атакующие все чаще злоупотребляют легитимными инструментами удаленного мониторинга и управления (RMM) для уклонения от проверок безопасности. После установления удаленного доступа злоумышленники развертывали бинарный файл под названием SimpleRunPE.exe, который, по мнению Microsoft, может частично происходить из общедоступного проекта по выдалбливанию процессов на GitHub. Вредоносное ПО копировало себя в скрытые каталоги Windows как RuntimeHost.exe, создавало запланированные задачи и записи автозапуска для сохранения присутствия и неоднократно добавляло исключения Microsoft Defender, даже если пользователи или администраторы пытались их удалить. Вредоносное ПО также, по-видимому, было специально разработано для избежания обнаружения пользователями ПК, заботящимися о производительности. Microsoft заявляет, что майнер отслеживал утилизацию GPU, время простоя системы, игровую активность и потоковые рабочие нагрузки, отключая операции майнинга при обнаружении высокой активности GPU. На практике это, вероятно, уменьшало очевидные предупреждающие знаки, такие как внезапное падение частоты кадров, перегрев или постоянно громкие вентиляторы GPU, которые могли бы предупредить пользователей о компрометации. Для дальнейшего уклонения от обнаружения вредоносное ПО выполняло обширные проверки на предмет анализа перед активацией. Программа сканировала системы на наличие артефактов виртуальных машин, инструментов отладки, платформ обратной разработки, анализаторов пакетов и криминалистических утилит, включая Wireshark, ProcMon, x64dbg, dnSpy, IDA и Ghidra. Если обнаруживался какой-либо из таких инструментов, вредоносное ПО завершало свою работу. Microsoft сообщает, что операторы вредоносного ПО в конечном итоге использовали скомпрометированные системы для развертывания одного из нескольких майнеров криптовалют, ориентированных на GPU, включая lolMiner, gminer и SRBMiner-MULTI. Вместо того чтобы встраивать майнеры непосредственно во вредоносное ПО, полезная нагрузка динамически загружала наиболее подходящее программное обеспечение для майнинга после проведения обширной разведки на системе жертвы, включая модель GPU, характеристики ЦП, установленное антивирусное ПО, конфигурацию памяти и общую активность системы. Кампания подчеркивает тревожное развитие событий, при котором злоумышленники теперь нацелены не только на поисковые системы, но и на системы обнаружения с помощью ИИ. В то время как традиционное отравление SEO существует уже много лет, растущее использование ИИ-чат-ботов и ассистентов на базе LLM для рекомендаций программного обеспечения может создавать новую поверхность атаки, где вредоносные сайты получают дополнительную видимость через сгенерированные ответы. Пользователям необходимо проявлять предельную осторожность, поскольку даже хорошо знакомые утилиты, загруженные с кажущихся убедительными веб-сайтов, могут содержать скрытые вредоносные полезные нагрузки, особенно если они получены через сторонние зеркала или ссылки, предоставленные ИИ, а не с официальных страниц поставщиков.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Etiido Uko