- Автор темы
- #1
Злоумышленники продвигают малварь не только через отравление SEO в поисковиках, но и через рекомендации ИИ-помощников. ИБ-специалисты обнаружили новую кампанию, которая нацелена на владельцев мощных ПК. Она позволяет злоумышленникам не только использовать устройства жертв для скрытого майнинга, но и сохранять к ним долговременный удаленный доступ.
По данным специалистов Microsoft, жертвы этой кампании искали в сети популярные системные утилиты и инструменты для мониторинга железа — CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack и PDFgear. Изначально пользователей заманивали на вредоносные сайты через «отравленную» поисковую выдачу, но весной 2026 года исследователи начали фиксировать случаи, когда ссылки на вредоносные домены появляются в ответах ИИ-ассистентов.
Как отмечают эксперты, пользователи спрашивали чат-ботов, где скачать нужное ПО, а в ответ получали ссылки на вредоносные ресурсы. В компании полагают, что это развитие классической тактики отравления SEO, только теперь злоумышленники стремятся влиять не на поисковую выдачу, а на результаты, которые генерируют LLM.
На вредоносных сайтах размещалась кнопка загрузки ZIP-архива. Внутри находился легитимный исполняемый файл и вредоносная DLL, которая запускалась посредством DLL sideloading. В итоге атака приводила к установке легального инструмента для удаленного администрирования ScreenConnect.
После этого атакующие получали постоянный доступ к устройству жертвы и загружали дополнительный компонент SimpleRunPE.exe. Он закреплялся в системе с помощью записей автозагрузки в реестре и задач планировщика, добавлялся исключения в Microsoft Defender, выполнял проверки на наличие средств анализа и использовал технику process hollowing для запуска полезной нагрузки внутри доверенных процессов Windows.
В некоторых случаях вместо передачи файлов через ScreenConnect злоумышленники применяли PowerShell-скрипт, который загружал тот же вредоносный компонент под именем vlc.exe, маскируя его под медиаплеер VLC.
Закрепившись в системе, вредонос собирал подробную информацию о зараженной машине, связывался с управляющим сервером и загружал один из майнеров — gminer, lolMiner или SRBMiner-MULTI. Все они используют GPU для добычи криптовалюты.
По словам исследователей, эта кампания отличается от типичных случаев криптоджекинга. Вместо массового заражения случайных машин злоумышленники целенаправленно ищут системы с производительными видеокартами, стремясь получить максимальную прибыль от каждого взломанного устройства.
При этом майнинг — не единственная цель этой кампании. Наличие постоянного доступа к системам жертв через ScreenConnect позволяет использовать скомпрометированные хосты для кражи данных, бокового перемещения по сети и даже последующего развертывания шифровальщиков.
В общей сложности специалисты выявили более 150 вредоносных доменов, участвующих в этих атаках. В Microsoft подчеркивают, что сочетание рекомендаций ИИ-чат-ботов, маскировки под легитимное ПО и механизмов долговременного доступа демонстрируют, что злоумышленники активно адаптируют старые схемы под новые привычки пользователей.
По данным специалистов Microsoft, жертвы этой кампании искали в сети популярные системные утилиты и инструменты для мониторинга железа — CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack и PDFgear. Изначально пользователей заманивали на вредоносные сайты через «отравленную» поисковую выдачу, но весной 2026 года исследователи начали фиксировать случаи, когда ссылки на вредоносные домены появляются в ответах ИИ-ассистентов.
Как отмечают эксперты, пользователи спрашивали чат-ботов, где скачать нужное ПО, а в ответ получали ссылки на вредоносные ресурсы. В компании полагают, что это развитие классической тактики отравления SEO, только теперь злоумышленники стремятся влиять не на поисковую выдачу, а на результаты, которые генерируют LLM.
На вредоносных сайтах размещалась кнопка загрузки ZIP-архива. Внутри находился легитимный исполняемый файл и вредоносная DLL, которая запускалась посредством DLL sideloading. В итоге атака приводила к установке легального инструмента для удаленного администрирования ScreenConnect.
После этого атакующие получали постоянный доступ к устройству жертвы и загружали дополнительный компонент SimpleRunPE.exe. Он закреплялся в системе с помощью записей автозагрузки в реестре и задач планировщика, добавлялся исключения в Microsoft Defender, выполнял проверки на наличие средств анализа и использовал технику process hollowing для запуска полезной нагрузки внутри доверенных процессов Windows.
В некоторых случаях вместо передачи файлов через ScreenConnect злоумышленники применяли PowerShell-скрипт, который загружал тот же вредоносный компонент под именем vlc.exe, маскируя его под медиаплеер VLC.
Закрепившись в системе, вредонос собирал подробную информацию о зараженной машине, связывался с управляющим сервером и загружал один из майнеров — gminer, lolMiner или SRBMiner-MULTI. Все они используют GPU для добычи криптовалюты.
По словам исследователей, эта кампания отличается от типичных случаев криптоджекинга. Вместо массового заражения случайных машин злоумышленники целенаправленно ищут системы с производительными видеокартами, стремясь получить максимальную прибыль от каждого взломанного устройства.
При этом майнинг — не единственная цель этой кампании. Наличие постоянного доступа к системам жертв через ScreenConnect позволяет использовать скомпрометированные хосты для кражи данных, бокового перемещения по сети и даже последующего развертывания шифровальщиков.
В общей сложности специалисты выявили более 150 вредоносных доменов, участвующих в этих атаках. В Microsoft подчеркивают, что сочетание рекомендаций ИИ-чат-ботов, маскировки под легитимное ПО и механизмов долговременного доступа демонстрируют, что злоумышленники активно адаптируют старые схемы под новые привычки пользователей.