微软警告称，针对高端 PC 用户的加密货币矿工威胁

微软威胁情报发现了一场复杂的加密劫持活动，该活动结合了网络利用和极其复杂的社会工程。

该活动故意针对硬件爱好者和电脑游戏玩家，劫持他们的高性能 GPU 资源，以非法开采加密货币。

Microsoft Defender 专家观察到，威胁行为者现在正在毒害 AI 聊天机器人的结果，以诱骗毫无戒心的用户下载恶意软件。

AI 和 SEO 攻击链

加密劫持活动倾向于优先考虑感染量而不是精度。

然而，这个新发现的活动经过专门设计，旨在让每台设备获得尽可能多的收益。

攻击者利用搜索引擎优化 (SEO) 中毒以及大型语言模型 (LLM) 聊天机器人生成的响应中嵌入的恶意链接来引诱目标。卡

想要下载某些合法软件的用户会被定向到相似的域。

恶意站点伪装成流行的硬件监控和系统实用程序。

受损的下载包包括 CrystalDiskInfo、HWMonitor、FurMark 等。

高级回避

下载目标软件后，他们会收到包含恶意文件的 ZIP 存档。

系统通过 DLL 旁加载悄然启动恶意软件。

从那里，恶意软件部署 ScreenConnect，这是一个合法的商业远程管理工具。这使得不法分子能够获得对机器的持久访问权限。

威胁行为者执行一种称为进程空洞的技术。

名为 ⁠ 的自定义 .NET 有效负载启动受信任的 Microsoft 签名 Windows 实用程序，并将其挖掘代码直接注入受信任实用程序的内存空间。

然后，加载程序会下载 gminer 等以 GPU 为中心的挖矿客户端。

该恶意软件不断监视主机系统以保持不被发现：

它监控活动 GPU 使用情况和用户空闲时间。矿工会自动终止其活动，因此受害者不会注意到 PC 性能突然下降。

该软件反复操作 Windows PowerShell 以将排除路径添加到防病毒设置中。

Microsoft 确认 Microsoft Defender 防病毒软件和 Microsoft Defender for Endpoint 可以检测并阻止与此活动相关的威胁。