Microsoft предупреждает об угрозе скрытого криптомайнера, нацеленной на пользователей высокопроизводительных ПК

Службе Microsoft Threat Intelligence удалось узнать о сложной кампании криптоджекинга, которая сочетает в себе веб-эксплуатацию и чрезвычайно сложную социальную инженерию.

Эта кампания намеренно нацелена на энтузиастов аппаратного обеспечения и компьютерных геймеров, чтобы они использовали ресурсы высокопроизводительных графических процессоров для незаконного майнинга криптовалют.

Эксперты Microsoft Defender заметили, что злоумышленники теперь отравляют результаты чат-ботов с искусственным интеллектом, чтобы обманом заставить ничего не подозревающих пользователей загрузить вредоносное ПО.

Цепочка атак AI и SEO

Кампании по криптоджекингу, как правило, отдают приоритет объему заражения, а не точности.

Однако эта недавно обнаруженная кампания была специально разработана для получения как можно большего дохода с каждого устройства.

Злоумышленники заманивают цели, используя поисковую оптимизацию (SEO), а также вредоносные ссылки, встроенные в ответы, генерируемые чат-ботами большой языковой модели (LLM). карта

Пользователи, желающие загрузить легальное программное обеспечение, перенаправляются на похожие домены.

Вредоносные сайты маскируются под популярные утилиты для мониторинга оборудования и системы.

К скомпрометированным пакетам загрузки относятся CrystalDiskInfo, HWMonitor, FurMark и т. д.

Расширенное уклонение

После загрузки целевого ПО они получают ZIP-архив с вредоносным файлом.

Система незаметно запускает вредоносное ПО посредством загрузки неопубликованных DLL.

Оттуда вредоносная программа развертывает ScreenConnect, который является законным коммерческим инструментом удаленного управления. Это позволяет злоумышленникам получить постоянный доступ к машине.

Злоумышленники применяют технику, известную как опустошение процесса.

Специальная полезная нагрузка .NET под названием ⁠ запускает доверенную утилиту Windows, подписанную Microsoft, и внедряет ее код майнинга непосредственно в пространство памяти доверенной утилиты.

Затем загрузчик загружает клиенты майнинга, ориентированные на графический процессор, такие как gminer.

Вредоносная программа постоянно контролирует хост-систему, чтобы оставаться незамеченной:

Он отслеживает активное использование графического процессора и время простоя пользователя. Майнер автоматически прекращает свою деятельность, чтобы жертва не заметила внезапного падения производительности ПК.

Программное обеспечение неоднократно манипулирует Windows PowerShell, добавляя пути исключения в настройки антивируса.

Microsoft подтвердила, что антивирусная программа Microsoft Defender и Microsoft Defender для конечной точки обнаруживают и блокируют угрозы, связанные с этой кампанией.