Microsoft warnt vor einer heimtückischen Krypto-Miner-Bedrohung, die auf High-End-PC-Benutzer abzielt

Microsoft Threat Intelligence hat von einer raffinierten Kryptojacking-Kampagne erfahren, die Web-Ausbeutung und äußerst raffiniertes Social Engineering kombiniert.

Diese Kampagne richtet sich gezielt an Hardware-Enthusiasten und PC-Spieler, um deren leistungsstarke GPU-Ressourcen zu kapern, um illegal Kryptowährungen zu schürfen.

Microsoft Defender-Experten stellten fest, dass Bedrohungsakteure jetzt KI-Chatbot-Ergebnisse verfälschen, um ahnungslose Benutzer zum Herunterladen von Malware zu verleiten.

Die KI- und SEO-Angriffskette

Bei Kryptojacking-Kampagnen geht es in der Regel um das Infektionsvolumen und nicht um die Präzision.

Diese neu entdeckte Kampagne wurde jedoch speziell darauf ausgelegt, einen möglichst hohen Ertrag pro Gerät zu erzielen.

Angreifer locken Ziele durch Search Engine Optimization (SEO)-Poisoning sowie bösartige Links an, die in Antworten eingebettet sind, die von Large Language Model (LLM)-Chatbots generiert werden. Karte

Benutzer, die legitime Software herunterladen möchten, werden zu Lookalike-Domains weitergeleitet.

Schädliche Websites tarnen sich als beliebte Hardwareüberwachungs- und Systemdienstprogramme.

Zu den kompromittierten Downloadpaketen gehören CrystalDiskInfo, HWMonitor, FurMark und so weiter.

Erweitertes Ausweichen

Nach dem Herunterladen der Zielsoftware erhalten sie ein ZIP-Archiv mit einer Schaddatei.

Das System startet die Malware stillschweigend per DLL-Sideloading.

Von dort aus stellt die Malware ScreenConnect bereit, ein legitimes kommerzielles Fernverwaltungstool. Dies ermöglicht es böswilligen Akteuren, sich dauerhaften Zugriff auf die Maschine zu verschaffen.

Die Bedrohungsakteure wenden eine Technik an, die als Process Hollowing bekannt ist.

Eine benutzerdefinierte .NET-Nutzlast namens ⁠ startet ein vertrauenswürdiges, von Microsoft signiertes Windows-Dienstprogramm und injiziert seinen Mining-Code direkt in den Speicherbereich des vertrauenswürdigen Dienstprogramms.

Der Loader lädt dann GPU-fokussierte Mining-Clients wie gminer herunter.

Die Malware überwacht ständig das Hostsystem, um unentdeckt zu bleiben:

Es überwacht die aktive GPU-Nutzung und die Leerlaufzeit des Benutzers. Der Miner beendet seine Aktivität automatisch, sodass das Opfer keinen plötzlichen Rückgang der PC-Leistung bemerkt.

Die Software manipuliert Windows PowerShell wiederholt, um Ausschlusspfade zu den Antivireneinstellungen hinzuzufügen.

Microsoft hat bestätigt, dass Microsoft Defender Antivirus und Microsoft Defender for Endpoint Bedrohungen im Zusammenhang mit dieser Kampagne erkennen und blockieren.