### Ingénierie sociale alimentée par l'IA Les **Microsoft Defender Experts** et l'équipe de recherche en sécurité **Microsoft Defender** ont révélé que des acteurs malveillants utilisent des chatbots IA pour promouvoir des logiciels malveillants, se faisant passer pour des utilitaires système légitimes tels que CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack et PDFgear. La campagne vise à compromettre les systèmes dotés de GPU haute performance, afin de maximiser le rendement du minage. ### Accès persistant et vol de données Les attaquants ne se concentrent pas uniquement sur le gain financier. Ils établissent un accès à distance persistant via des déploiements de **ScreenConnect**, ce qui peut entraîner du vol de données, des mouvements latéraux ou des attaques par ransomware. ### Détails de la chaîne d'attaque L'attaque commence par des utilisateurs recherchant des utilitaires de confiance, les menant à des sites malveillants boostés par le référencement empoisonné. Plus récemment, les utilisateurs sont dirigés vers ces sites via des interactions avec des chatbots IA. « Dans ces cas, les utilisateurs interrogeant les chatbots IA pour des recommandations de téléchargement de logiciels se sont vu présenter des liens vers des domaines contrôlés par des attaquants dans les réponses générées », a déclaré **Microsoft**. Ces sites hébergent des boutons de téléchargement qui récupèrent des archives ZIP à partir de sous-domaines de gleeze[.]com, hébergés par **Dynu**, un fournisseur de DNS dynamique souvent utilisé par des acteurs malveillants. Plus de 150 domaines malveillants ont été identifiés.  ### Installation et persistance du malware L'archive ZIP téléchargée contient un exécutable légitime et une DLL malveillante ("autorun.dll") qui installe une seconde DLL nommée "vcredist_x64.dll" à l'aide de "msiexec.exe". Ce fichier est un installateur packagé pour **ScreenConnect**. Une fois installé, **ScreenConnect** tente de se connecter à un serveur contrôlé par l'attaquant. La session **ScreenConnect** délivre ensuite un exécutable appelé "SimpleRunPE.exe". Ce binaire établit la persistance via des clés de Registre Run et des tâches planifiées, configure des exclusions pour **Microsoft Defender**, effectue des vérifications anti-analyse et utilise le processus hollowing pour lancer le code de minage sous un binaire signé par **Microsoft** de confiance. Certaines compromissions impliquent un script **PowerShell** pour récupérer le binaire à partir d'un lecteur distant, l'enregistrer sous le nom "vlc.exe" pour échapper à la détection, créer une tâche planifiée pour le lancer, puis se supprimer. ### Opérations de minage Le binaire hollowing communique avec le serveur de l'attaquant, transmet des informations sur l'hôte, télécharge l'archive du mineur et l'exécute. Le malware prend en charge gminer, lolMiner et SRBMiner-MULTI. Le binaire recrée également des artefacts de persistance et reconfigure les exclusions de **Defender** si elles sont supprimées. Il surveille les processus en cours, terminant le mineur s'il détecte le Gestionnaire des tâches de **Windows**, Process Hacker, Process Explorer ou System Informer. ### Avertissements de sécurité plus larges de Microsoft Cette divulgation fait suite à l'avertissement de **Microsoft** concernant des attaquants qui ont compromis un appareil de pare-feu **F5 BIG-IP** exposé sur Internet et ont pivoté vers un hôte Linux interne, exploitant les appareils périphériques exposés sur Internet pour un accès initial. L'attaquant a utilisé l'hôte Linux pour se déplacer latéralement vers un serveur **Atlassian Confluence** vulnérable. Ils ont mis en place un serveur FTP à l'aide du module **Python ftplib** pour transférer un outil d'analyse personnalisé et obtenir des identifiants pour l'authentification auprès de l'infrastructure **Windows**, suivi d'attaques de relais Kerberos et de l'exploitation de la **CVE-2025-33073**.  « Dans cet incident, l'acteur malveillant s'est authentifié sur un serveur Linux via SSH en utilisant un compte privilégié. L'acteur malveillant a maintenu ce niveau d'accès tout au long de l'activité observée sans établir de mécanismes de persistance explicites, soulignant le risque posé par les identités sur-privilégiées avec des droits sudo. » Plus tôt ce mois-ci, **Microsoft** a mis en évidence une autre intrusion où des attaquants ont abusé de relations opérationnelles de confiance et de processus d'authentification via un fournisseur de services informatiques tiers compromis. **Microsoft** conseille aux défenseurs d'adopter une posture de vérification délibérée et de valider le comportement des fournisseurs au sein de leur environnement.