Bedrohungsakteure zielen in einer laufenden Kryptojacking-Kampagne aktiv auf Systeme ab, die mit Hochleistungscomputern ausgestattet sind. Der Angriff verbreitet sich über eine koordinierte SEO-Poisoning-Operation, die auch KI-Chatbot-Empfehlungen manipuliert. ### Infektionsvektor Die Kompromittierung erfolgt über bösartige Download-Seiten, die als legitime Dienstprogramme getarnt sind. Diese Dienstprogramme werden typischerweise von Besitzern leistungsstarker Systeme installiert und umfassen Tools wie **CrystalDiskInfo**, **HWMonitor**, **Display Driver Uninstaller**, **FurMark**, **K-Lite Codec Pack** und **PDFgear**. Sobald ein System infiziert ist, erlangt der Angreifer persistenten Zugriff, indem er das legitime Fernverwaltungs-Tool **ScreenConnect** einsetzt. Dies ermöglicht es ihm, später zusätzliche Malware zu installieren. ### SEO-Poisoning und KI-Manipulation Forscher von **Microsoft** entdeckten die Kampagne und stellten fest, dass der Angriff beginnt, wenn Benutzer nach einem der oben genannten Dienstprogramme suchen. Die Suchergebnisse werden durch SEO-Poisoning manipuliert, um bösartige Links prominent anzuzeigen. Berichten zufolge wurden Benutzer auch nach der Interaktion mit KI-basierten Assistenten zu den bösartigen Domains weitergeleitet. „In diesen Fällen wurden Benutzern, die KI-Chatbots nach Empfehlungen für Software-Downloads fragten, Links zu von Angreifern kontrollierten Domains innerhalb generierter Antworten präsentiert“, so **Microsoft**.  ### Malware-Bereitstellung und Persistenz Der bösartige Download ist ein ZIP-Archiv, das auf einer Subdomain von `gleeze[.]com` gehostet wird, einer Domain, die zuvor wegen Phishing-Aktivitäten gekennzeichnet wurde. Das Archiv enthält sowohl die legitime ausführbare Datei des Dienstprogramms als auch eine bösartige DLL. Die DLL wird automatisch geladen, wenn die harmlose Binärdatei gestartet wird. Laut **Microsoft** verwendet die DLL `msiexec.exe`, um `vcredist_x64.dll` zu installieren, ein Paketinstallationsprogramm für das **ScreenConnect**-Fernzugriffstool. Nachdem eine **ScreenConnect**-Sitzung hergestellt wurde, platziert der Angreifer eine weitere Binärdatei namens `SimpleRunPE.exe`, die sich als `RuntimeHost.exe` in einen versteckten Ordner kopiert. Der Zweck dieser ausführbaren Datei ist die Einrichtung von „sechs Persistenzmechanismen über mehrere Windows-Autostart-Speicherorte hinweg“.  In einigen Fällen wird die Binärdatei über ein bösartiges PowerShell-Skript bereitgestellt und lokal als `vlc.exe` gespeichert, wobei die ausführbare Datei des beliebten **VideoLAN**-Multimedia-Players imitiert wird. ### Process Hollowing und Abwehr von Erkennung Basierend auf dem Program Database (PDB)-Pfad von `SimpleRunPE.exe` gehen Forscher davon aus, dass es sich um einen Fork eines öffentlichen Repositorys handelt, das die Process-Hollowing-Technik demonstriert. Der Bedrohungsakteur nutzt diese Technik zur Tarnung, indem er bösartigen Code in legitime, von **Microsoft** signierte .NET-Binärdateien injiziert, wie z. B. `InstallUtil.exe`, `RegAsm.exe`, `RegSvcs.exe`, `MSBuild.exe`, `AppLaunch.exe`, `AddInProcess.exe` und `aspnet_compiler.exe`. Die bösartige Binärdatei ruft auch PowerShell auf, um ihren Pfad und Prozess zur Ausschlussliste in **Microsoft Defender** hinzuzufügen. ### Erkennung von virtuellen Maschinen und Analysewerkzeugen Zusätzlich prüft die Malware die Umgebung auf virtuelle Maschinen und eine Reihe von 40 Prozessnamen, die Analysewerkzeugen entsprechen. Wenn eines davon identifiziert wird, beendet die Malware ihre Ausführung. ### Kryptowährungs-Mining Nach Abschluss der Process-Hollowing-Phase und der Ausführung innerhalb eines von **Microsoft** signierten Windows-Dienstprogramms wird eines von drei Mining-Modulen heruntergeladen und ausgeführt. Die unterstützten Mining-Programme sind `gminer`, `lolMiner` und `SRBMiner-MULTI`, die alle für die Nutzung von Grafikprozessoren (GPUs) ausgelegt sind. **Microsoft** betont, dass diese Kryptowährungskampagne durch ihre „von Grund auf entwickelte Targeting- und Monetarisierungsstrategie zur Maximierung des GPU-Mining-Ertrags pro kompromittiertem Gerät“ bemerkenswert ist, anstatt sich auf die Infektion einer großen Anzahl von Geräten zu konzentrieren. ### Abhilfemaßnahmen Organisationen können ihre Umgebungen schützen, indem sie die im **Microsoft**-Bericht enthaltenen Indikatoren für Kompromittierung (IOCs) verwenden und sicherstellen, dass ihre Sicherheitssoftware auf dem neuesten Stand ist.