### KI-gestütztes Social Engineering **Microsoft Defender Experts** und das **Microsoft Defender Security Research Team** enthüllten, dass Angreifer KI-Chatbots nutzen, um bösartige Software zu bewerben und sich als legitime Systemprogramme wie CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack und PDFgear auszugeben. Die Kampagne zielt darauf ab, Systeme mit Hochleistungs-GPUs zu kompromittieren, um den Mining-Ertrag zu maximieren. ### Persistenter Zugriff und Datendiebstahl Die Angreifer konzentrieren sich nicht nur auf finanzielle Gewinne. Sie etablieren persistenten Fernzugriff durch **ScreenConnect**-Bereitstellungen, was potenziell zu Datendiebstahl, lateraler Bewegung oder Ransomware-Angriffen führen kann. ### Details zur Angriffskette Der Angriff beginnt damit, dass Benutzer nach vertrauenswürdigen Dienstprogrammen suchen, was sie auf bösartige Seiten führt, die durch SEO-Poisoning beworben werden. In jüngerer Zeit werden Benutzer über KI-Chatbot-Interaktionen auf diese Seiten geleitet. "In diesen Fällen wurden Benutzern, die KI-Chatbots nach Empfehlungen für Software-Downloads fragten, in generierten Antworten Links zu von Angreifern kontrollierten Domains präsentiert", teilte **Microsoft** mit. Diese Seiten hosten Download-Buttons, die ZIP-Archive von Subdomains von gleeze[.]com abrufen, die von **Dynu**, einem Dynamic-DNS-Anbieter, der häufig von böswilligen Akteuren genutzt wird, gehostet werden. Über 150 bösartige Domains wurden identifiziert.  ### Malware-Installation und Persistenz Das heruntergeladene ZIP-Archiv enthält eine legitime ausführbare Datei und eine bösartige DLL ("autorun.dll"), die eine zweite DLL namens "vcredist_x64.dll" mithilfe von "msiexec.exe" installiert. Diese Datei ist ein gepackter Installer für **ScreenConnect**. Nach der Installation versucht **ScreenConnect**, eine Verbindung zu einem von Angreifern kontrollierten Server herzustellen. Die **ScreenConnect**-Sitzung liefert dann eine ausführbare Datei namens "SimpleRunPE.exe". Diese Binärdatei etabliert Persistenz über Registry Run-Schlüssel und geplante Aufgaben, konfiguriert **Microsoft Defender**-Ausschlüsse, führt Anti-Analyse-Prüfungen durch und verwendet Process Hollowing, um den Mining-Code unter einer vertrauenswürdigen **Microsoft**-signierten Binärdatei zu starten. Einige Kompromittierungen beinhalten ein **PowerShell**-Skript, um die Binärdatei von einem Remote-Laufwerk abzurufen, sie als "vlc.exe" zu speichern, um Erkennung zu umgehen, eine geplante Aufgabe zu erstellen, um sie zu starten, und sich dann selbst zu löschen. ### Mining-Operationen Die ausgehöhlte Binärdatei kommuniziert mit dem Server des Angreifers, überträgt Host-Informationen, lädt das Miner-Archiv herunter und führt es aus. Die Malware unterstützt gminer, lolMiner und SRBMiner-MULTI. Die Binärdatei erstellt auch Persistenzartefakte neu und konfiguriert **Defender**-Ausschlüsse neu, falls diese entfernt werden. Sie überwacht laufende Prozesse und beendet den Miner, wenn sie **Windows Task Manager**, Process Hacker, Process Explorer oder System Informer erkennt. ### Breitere Sicherheitswarnungen von Microsoft Diese Enthüllung folgt auf die Warnung von **Microsoft** vor Angreifern, die eine internetfähige **F5 BIG-IP** Firewall-Appliance kompromittiert und sich auf einen internen Linux-Host verlagert haben, wobei sie internetfähige Edge-Appliances für den initialen Zugriff ausnutzten. Der Angreifer nutzte den Linux-Host, um sich lateral auf einen anfälligen **Atlassian Confluence**-Server zu bewegen. Sie richteten einen FTP-Server mit dem **Python ftplib module** ein, um ein benutzerdefiniertes Scan-Tool zu übertragen und Anmeldeinformationen für die Authentifizierung gegen **Windows**-Infrastruktur zu erhalten, gefolgt von Kerberos-Relay-Angriffen und der Ausnutzung von **CVE-2025-33073**.  "In diesem Vorfall authentifizierte sich der Angreifer über SSH mit einem privilegierten Konto an einem Linux-Server. Der Angreifer behielt diesen Zugriff während der beobachteten Aktivitäten bei, ohne explizite Persistenzmechanismen zu etablieren, was das Risiko durch überprivilegierte Identitäten mit sudo-Rechten unterstreicht." Anfang dieses Monats hob **Microsoft** eine weitere Intrusion hervor, bei der Angreifer vertrauenswürdige operative Beziehungen und Authentifizierungsprozesse über einen kompromittierten Drittanbieter für IT-Dienstleistungen missbrauchten. **Microsoft** rät Verteidigern, eine Haltung der bewussten Verifizierung einzunehmen und das Verhalten von Anbietern in ihrer Umgebung zu validieren.