Cryptonews

Microsoft met en garde contre une menace sournoise de crypto-mineur ciblant les utilisateurs de PC haut de gamme

Source
CryptoNewsTrend
Published
Microsoft met en garde contre une menace sournoise de crypto-mineur ciblant les utilisateurs de PC haut de gamme

Microsoft Threat Intelligence a découvert une campagne de cryptojacking sophistiquée qui combine exploitation Web et ingénierie sociale extrêmement sophistiquée.

Cette campagne cible délibérément les passionnés de matériel informatique et les joueurs sur PC pour détourner leurs ressources GPU hautes performances afin d'exploiter illégalement des crypto-monnaies.

Les experts de Microsoft Defender ont observé que les acteurs malveillants empoisonnent désormais les résultats des chatbots IA pour inciter les utilisateurs peu méfiants à télécharger des logiciels malveillants.

La chaîne d’attaque IA et SEO

Les campagnes de cryptojacking ont tendance à donner la priorité au volume des infections plutôt qu’à la précision.

Cependant, cette campagne nouvellement découverte a été spécialement conçue pour obtenir le plus de rendement possible par appareil.

Les attaquants attirent leurs cibles en utilisant l'empoisonnement de l'optimisation des moteurs de recherche (SEO) ainsi que des liens malveillants intégrés dans les réponses générées par les chatbots Large Language Model (LLM). carte

Les utilisateurs qui souhaitent télécharger des logiciels légitimes sont dirigés vers des domaines similaires.

Les sites malveillants se font passer pour des utilitaires de surveillance matérielle et système populaires.

Les packages de téléchargement compromis incluent CrystalDiskInfo, HWMonitor, FurMark, etc.

Évasion avancée

Après avoir téléchargé le logiciel ciblé, ils reçoivent une archive ZIP contenant un fichier malveillant.

Le système lance silencieusement le malware via le chargement latéral de DLL.

À partir de là, le malware déploie ScreenConnect, qui est un outil commercial légitime de gestion à distance. Cela permet à des acteurs malveillants d’obtenir un accès persistant à la machine.

Les acteurs de la menace exécutent une technique connue sous le nom de processus creux.

Une charge utile .NET personnalisée appelée ⁠ lance un utilitaire Windows de confiance signé par Microsoft et injecte son code d'exploration de données directement dans l'espace mémoire de l'utilitaire de confiance.

Le chargeur télécharge ensuite des clients miniers axés sur le GPU, comme gminer.

Le malware surveille en permanence le système hôte pour ne pas être détecté :

Il surveille l'utilisation active du GPU et le temps d'inactivité des utilisateurs. Le mineur met automatiquement fin à son activité afin que la victime ne remarque pas une baisse soudaine des performances du PC.

Le logiciel manipule à plusieurs reprises Windows PowerShell pour ajouter des chemins d'exclusion aux paramètres antivirus.

Microsoft a confirmé que Microsoft Defender Antivirus et Microsoft Defender for Endpoint détectent et bloquent les menaces liées à cette campagne.

Microsoft met en garde contre une menace sournoise de crypto-mineur ciblant les utilisateurs de PC haut de gamme