Actores de amenazas están atacando activamente sistemas equipados con computadoras de alto rendimiento en una campaña de cryptojacking en curso. El ataque se propaga a través de una operación coordinada de envenenamiento SEO que también manipula las recomendaciones de chatbots de IA. ### Vector de Infección El compromiso ocurre a través de páginas de descarga maliciosas disfrazadas de software de utilidad legítimo. Estas utilidades suelen ser instaladas por propietarios de sistemas potentes e incluyen herramientas como **CrystalDiskInfo**, **HWMonitor**, **Display Driver Uninstaller**, **FurMark**, **K-Lite Codec Pack** y **PDFgear**. Una vez que un sistema está infectado, el atacante obtiene acceso persistente implementando la herramienta legítima de gestión remota **ScreenConnect**. Esto les permite instalar malware adicional más adelante. ### Envenenamiento SEO y Manipulación de IA Investigadores de **Microsoft** descubrieron la campaña y determinaron que el ataque comienza cuando los usuarios buscan una de las utilidades mencionadas anteriormente. Los resultados de búsqueda se manipulan mediante envenenamiento SEO para mostrar prominentemente enlaces maliciosos. Los informes indican que los usuarios también fueron dirigidos a dominios maliciosos después de interactuar con asistentes basados en IA. "En estos casos, a los usuarios que consultaban chatbots de IA para obtener recomendaciones de descarga de software se les presentaron enlaces a dominios controlados por atacantes dentro de las respuestas generadas", afirmó **Microsoft**.  ### Entrega de Malware y Persistencia La descarga maliciosa es un archivo ZIP alojado en un subdominio en `gleeze[.]com`, un dominio previamente marcado por actividad de phishing. El archivo contiene tanto el ejecutable legítimo de la utilidad como una DLL maliciosa. La DLL se carga automáticamente cuando se inicia el binario benigno. Según **Microsoft**, la DLL utiliza `msiexec.exe` para instalar `vcredist_x64.dll`, un instalador de paquetes para la herramienta de acceso remoto **ScreenConnect**. Después de establecer una sesión de **ScreenConnect**, el atacante deja otro binario llamado `SimpleRunPE.exe`, que se copia a sí mismo como `RuntimeHost.exe` en una carpeta oculta. El propósito de este ejecutable es establecer "seis mecanismos de persistencia en múltiples ubicaciones de inicio automático de Windows".  En algunos casos, el binario se entrega a través de un script de PowerShell malicioso y se guarda localmente como `vlc.exe`, suplantando al ejecutable del popular reproductor multimedia **VideoLAN**. ### Evasión de Defensa y Ocultamiento de Procesos Basado en la ruta del Programa de Base de Datos (PDB) de `SimpleRunPE.exe`, los investigadores creen que es una bifurcación de un repositorio público que demuestra la técnica de ocultamiento de procesos. El actor de amenazas utiliza esta técnica para el sigilo, inyectando código malicioso en binarios legítimos firmados por **Microsoft** como `InstallUtil.exe`, `RegAsm.exe`, `RegSvcs.exe`, `MSBuild.exe`, `AppLaunch.exe`, `AddInProcess.exe` y `aspnet_compiler.exe`. El binario malicioso también invoca PowerShell para agregar su ruta y proceso a la lista de exclusión en **Microsoft Defender**. ### Detección de Máquinas Virtuales y Herramientas de Análisis Además, el malware verifica el entorno en busca de máquinas virtuales y un conjunto de 40 nombres de procesos correspondientes a herramientas de análisis. Si se identifica alguno, el malware termina su ejecución. ### Minería de Criptomonedas Después de completar la etapa de ocultamiento de procesos y ejecutarse dentro de una utilidad de Windows firmada por **Microsoft**, se descarga y ejecuta uno de los tres módulos de minería. Los programas de minería compatibles son `gminer`, `lolMiner` y `SRBMiner-MULTI`, todos diseñados para utilizar unidades de procesamiento gráfico (GPUs). **Microsoft** enfatiza que esta campaña de criptomonedas es notable por su "estrategia de segmentación y monetización diseñada desde cero para maximizar el rendimiento de la minería de GPU por dispositivo comprometido", en lugar de centrarse en infectar un gran número de dispositivos. ### Mitigación Las organizaciones pueden proteger sus entornos utilizando los indicadores de compromiso (IOCs) incluidos en el informe de **Microsoft** y asegurándose de que su software de seguridad esté actualizado.