Логотип

Вредоносное ПО для майнинга на графических процессорах распространяется с помощью SEO-отравления и чат-ботов с искусственным интеллектом

Вредоносное ПО для майнинга на графических процессорах распространяется с помощью SEO-отравления и чат-ботов с искусственным интеллектом

Злоумышленники атакуют системы с высокопроизводительными компьютерами в рамках продолжающейся кампании по криптоджекингу, которая распространяется с помощью скоординированной операции по «отравлению» поисковой выдачи, а также манипулирования рекомендациями чат-ботов с искусственным интеллектом.

Взлом происходит через вредоносные страницы загрузки утилит, которые обычно устанавливают владельцы мощных систем, таких как CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack и PDFgear.

После заражения системы злоумышленник получает постоянный доступ к компьютеру, используя легитимный инструмент удаленного управления ScreenConnect, который впоследствии может быть использован для установки дополнительных вредоносных программ.

Исследователи из Microsoft обнаружили эту кампанию и выяснили, что атака начинается, когда пользователи ищут одну из вышеупомянутых утилит и им предлагаются вредоносные ссылки, которые продвигаются в поисковой выдаче с помощью SEO-отравления.

Однако в некоторых отчетах за апрель говорилось, что после взаимодействия с чат-ботами на основе искусственного интеллекта пользователи попадали на вредоносные домены.

«В этих случаях пользователям, которые запрашивали у чат-ботов на основе ИИ рекомендации по загрузке программного обеспечения, в сгенерированных ответах предлагались ссылки на домены, контролируемые злоумышленниками», — сообщает Microsoft.

Утверждение о том, что ChatGPT перенаправил на вредоносный URL для загрузки CrystalDiskMark
источник: Microsoft

 

Вредоносная загрузка представляет собой ZIP-архив, размещенный на поддомене gleeze[.]com, который в прошлом помечался как связанный с фишинговыми сайтами.

По данным Microsoft, в архив входит легитимный исполняемый файл для легальной утилиты, а также вредоносная DLL, которая автоматически загружается при запуске безопасного двоичного файла.

Читать  Генеративный поиск: что это такое и как продвигаться в новой реальности

Исследователи обнаружили, что DLL использует msiexec.exe для установки vcredist_x64.dll — пакета для установки инструмента удаленного доступа ScreenConnect.

После установления сеанса ScreenConnect с взломанным клиентом злоумышленник запускает еще один двоичный файл под названием SimpleRunPE.exe, который копирует себя в папку RuntimeHost.exe, скрытую в проводнике.

Цель исполняемого файла — создать «шесть механизмов сохранения данных в нескольких местах автозапуска Windows».

Вредоносное ПО устанавливает шесть механизмов сохранения
источник: Microsoft

 

В некоторых случаях двоичный файл загружается с помощью вредоносного скрипта PowerShell и сохраняется локально под именем vlc.exe, чтобы выдать себя за исполняемый файл популярного мультимедийного проигрывателя VideoLAN.

Судя по пути к базе данных программ (Program Database, PDB) SimpleRunPE.exe, исследователи полагают, что это ответвление от публичного репозитория, демонстрирующее технику «выпотрошения» процесса.

Злоумышленник воспользовался этим методом для скрытного проникновения и попытался внедрить процесс в легитимный двоичный файл .NET, подписанный Microsoft: InstallUtil.exe, RegAsm.exe, RegSvcs.exe, MSBuild.exe, AppLaunch.exe, AddInProcess.exe, aspnet_compiler.exe.

С той же целью вредоносный двоичный файл вызывает PowerShell, чтобы добавить свой путь и процесс в список исключений в Microsoft Defender.

Кроме того, вредоносное ПО проверяет окружение на наличие виртуальных машин и 40 процессов с именами, соответствующими инструментам анализа. При обнаружении таких процессов вредоносное ПО прекращает свою работу.

После завершения этапа подготовки к работе вредоносное ПО запускается в утилите Windows с цифровой подписью Microsoft, после чего загружается и выполняется один из трех модулей для майнинга.

Читать  Arduino представила VENTUNO Q — одноплатный компьютер с Ubuntu для Edge-AI и робототехники

Поддерживаются программы для майнинга gminer, lolMiner и SRBMiner-MULTI, все они предназначены для использования графических процессоров (GPU).

По словам Microsoft, эта криптовалютная кампания выделяется своей «стратегией таргетинга и монетизации, разработанной с нуля для максимизации прибыли от майнинга на графических процессорах с каждого взломанного устройства», а не ориентацией на количество.

Помимо средств защиты, предоставляемых инструментами Microsoft, организации могут обезопасить свои системы с помощью индикаторов компрометации, описанных в отчете.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Просмотров поста: 5

Редактор: AndreyEx

Рейтинг: 5 (1 голос)
Если статья понравилась, то поделитесь ей в социальных сетях:
, , , ,
Безопасность в IT, Компания Microsoft, НовостиIT
Кол-во комментариев: 0
Как звучать как профи: Почему экспертам нужна специализированная студия для записи подкастов

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

три × 2 =

Это может быть вам интересно

Почему стартапам нужна более продуманная система аутентификации, прежде чем они начнут масштабироваться
Почему стартапам нужна более продуманная система аутентификации, прежде чем они начнут масштабироваться
Что новый Google Translate говорит о будущем искусственного интеллекта
Что новый Google Translate говорит о будущем искусственного интеллекта
Raspberry Pi 6 выйдет не раньше 2028 года и не будет оснащен нейронным процессором
Raspberry Pi 6 выйдет не раньше 2028 года и не будет оснащен нейронным процессором
Microsoft Defender теперь может автоматически изолировать взломанные конечные точки
Microsoft Defender теперь может автоматически изолировать взломанные конечные точки

Спасибо!

Теперь редакторы в курсе.

Закрыть
Прокрутить страницу до начала