### Ingeniería Social Potenciada por IA **Microsoft Defender Experts** y el **Microsoft Defender Security Research Team** revelaron que los actores de amenazas están utilizando chatbots de IA para promocionar software malicioso, haciéndose pasar por utilidades legítimas del sistema como CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack y PDFgear. La campaña tiene como objetivo comprometer sistemas con GPUs de alto rendimiento, maximizando el rendimiento de la minería. ### Acceso Persistente y Robo de Datos Los atacantes no se centran únicamente en la ganancia financiera. Establecen acceso remoto persistente a través de implementaciones de **ScreenConnect**, lo que podría llevar al robo de datos, movimiento lateral o ataques de ransomware. ### Detalles de la Cadena de Ataque El ataque comienza con usuarios que buscan utilidades confiables, lo que los lleva a sitios maliciosos impulsados por envenenamiento SEO. Más recientemente, los usuarios están siendo dirigidos a estos sitios a través de interacciones de chatbots de IA. "En estos casos, a los usuarios que consultaban chatbots de IA para obtener recomendaciones de descarga de software se les presentaron enlaces a dominios controlados por atacantes dentro de las respuestas generadas", declaró **Microsoft**. Estos sitios albergan botones de descarga que recuperan archivos ZIP de subdominios de gleeze[.]com, alojados por **Dynu**, un proveedor de DNS dinámico comúnmente utilizado por actores maliciosos. Se han identificado más de 150 dominios maliciosos.  ### Instalación y Persistencia de Malware El ZIP descargado contiene un ejecutable legítimo y una DLL maliciosa ("autorun.dll") que instala una segunda DLL llamada "vcredist_x64.dll" utilizando "msiexec.exe". Este archivo es un instalador empaquetado para **ScreenConnect**. Una vez instalado, **ScreenConnect** intenta conectarse a un servidor controlado por el atacante. La sesión de **ScreenConnect** luego entrega un ejecutable llamado "SimpleRunPE.exe". Este binario establece persistencia a través de claves de Registro de Ejecución y tareas programadas, configura exclusiones de **Microsoft Defender**, realiza verificaciones anti-análisis y utiliza "process hollowing" para lanzar el código de minería bajo un binario firmado por **Microsoft** de confianza. Algunos compromisos implican un script de **PowerShell** para obtener el binario de una unidad remota, guardarlo como "vlc.exe" para evadir la detección, crear una tarea programada para lanzarlo y luego eliminarse a sí mismo. ### Operaciones de Minería El binario "hollowed" se comunica con el servidor del atacante, transmite información del host, descarga el archivo del minero y lo ejecuta. El malware soporta gminer, lolMiner y SRBMiner-MULTI. El binario también recrea artefactos de persistencia y reconfigura las exclusiones de **Defender** si se eliminan. Monitorea los procesos en ejecución, terminando el minero si detecta **Windows Task Manager**, Process Hacker, Process Explorer o System Informer. ### Advertencias de Seguridad Más Amplias de Microsoft Esta divulgación sigue a la advertencia de **Microsoft** sobre atacantes que comprometen un dispositivo de firewall **F5 BIG-IP** expuesto a Internet y pivotan a un host Linux interno, explotando dispositivos de borde expuestos a Internet para el acceso inicial. El atacante utilizó el host Linux para moverse lateralmente a un servidor **Atlassian Confluence** vulnerable. Configuraron un servidor FTP utilizando el módulo **ftplib de Python** para transferir una herramienta de escaneo personalizada y obtener credenciales para la autenticación contra la infraestructura de **Windows**, seguido de ataques de retransmisión Kerberos y la explotación de **CVE-2025-33073**.  "En este incidente, el actor de amenazas se autenticó en un servidor Linux a través de SSH utilizando una cuenta privilegiada. El actor de amenazas mantuvo este nivel de acceso durante la actividad observada sin establecer mecanismos de persistencia explícitos, lo que subraya el riesgo que plantean las identidades sobreprivilegiadas con derechos sudo." A principios de este mes, **Microsoft** destacó otra intrusión en la que los atacantes abusaron de relaciones operativas confiables y procesos de autenticación a través de un proveedor de servicios de TI externo comprometido. **Microsoft** aconseja a los defensores que adopten una postura de verificación deliberada y validen el comportamiento de los proveedores dentro de su entorno.