Les acteurs de la menace ciblent activement les systèmes équipés d'ordinateurs haute performance dans le cadre d'une campagne de cryptojacking en cours. L'attaque se propage via une opération coordonnée d'empoisonnement SEO qui manipule également les recommandations des chatbots IA. ### Vecteur d'infection La compromission se produit via des pages de téléchargement malveillantes déguisées en logiciels utilitaires légitimes. Ces utilitaires sont généralement installés par les propriétaires de systèmes puissants et incluent des outils tels que **CrystalDiskInfo**, **HWMonitor**, **Display Driver Uninstaller**, **FurMark**, **K-Lite Codec Pack**, et **PDFgear**. Une fois qu'un système est infecté, l'attaquant obtient un accès persistant en déployant l'outil de gestion à distance légitime **ScreenConnect**. Cela leur permet d'installer ultérieurement des malwares supplémentaires. ### Empoisonnement SEO et manipulation de l'IA Les chercheurs de **Microsoft** ont découvert la campagne et ont déterminé que l'attaque commence lorsque les utilisateurs recherchent l'un des utilitaires susmentionnés. Les résultats de recherche sont manipulés par l'empoisonnement SEO pour afficher de manière proéminente des liens malveillants. Les rapports indiquent que les utilisateurs étaient également dirigés vers les domaines malveillants après avoir interagi avec des assistants basés sur l'IA. "Dans ces cas, les utilisateurs interrogeant les chatbots IA pour des recommandations de téléchargement de logiciels se voyaient présenter des liens vers des domaines contrôlés par l'attaquant dans les réponses générées", a déclaré **Microsoft**.  ### Distribution et persistance du malware Le téléchargement malveillant est une archive ZIP hébergée sur un sous-domaine de `gleeze[.]com`, un domaine précédemment signalé pour activité de phishing. L'archive contient à la fois l'exécutable légitime de l'utilitaire et une DLL malveillante. La DLL est automatiquement chargée lorsque le binaire bénin est lancé. Selon **Microsoft**, la DLL utilise `msiexec.exe` pour installer `vcredist_x64.dll`, un programme d'installation de paquets pour l'outil d'accès à distance **ScreenConnect**. Après avoir établi une session **ScreenConnect**, l'attaquant dépose un autre binaire nommé `SimpleRunPE.exe`, qui se copie en tant que `RuntimeHost.exe` dans un dossier caché. Le but de cet exécutable est d'établir "six mécanismes de persistance à travers plusieurs emplacements de démarrage automatique de Windows".  Dans certains cas, le binaire est déposé via un script PowerShell malveillant et enregistré localement sous le nom `vlc.exe`, usurpant l'identité de l'exécutable du lecteur multimédia populaire **VideoLAN**. ### Process Hollowing et évasion de la défense Sur la base du chemin du Program Database (PDB) de `SimpleRunPE.exe`, les chercheurs pensent qu'il s'agit d'une bifurcation d'un dépôt public démontrant la technique de process hollowing. L'acteur de la menace utilise cette technique pour la discrétion, en injectant du code malveillant dans des binaires légitimes signés par **Microsoft** tels que `InstallUtil.exe`, `RegAsm.exe`, `RegSvcs.exe`, `MSBuild.exe`, `AppLaunch.exe`, `AddInProcess.exe`, et `aspnet_compiler.exe`. Le binaire malveillant invoque également PowerShell pour ajouter son chemin et son processus à la liste d'exclusion dans **Microsoft Defender**. ### Détection de machines virtuelles et d'outils d'analyse De plus, le malware vérifie l'environnement pour les machines virtuelles et un ensemble de 40 noms de processus correspondant à des outils d'analyse. Si l'un d'eux est identifié, le malware arrête son exécution. ### Minage de cryptomonnaies Après avoir terminé l'étape de process hollowing et s'être exécuté à l'intérieur d'un utilitaire Windows signé par **Microsoft**, l'un des trois modules de minage est téléchargé et exécuté. Les programmes de minage pris en charge sont `gminer`, `lolMiner`, et `SRBMiner-MULTI`, tous conçus pour utiliser les unités de traitement graphique (GPU). **Microsoft** souligne que cette campagne de cryptomonnaies est remarquable pour sa "stratégie de ciblage et de monétisation conçue dès le départ pour maximiser le rendement du minage GPU par appareil compromis", plutôt que de se concentrer sur l'infection d'un grand nombre d'appareils. ### Atténuation Les organisations peuvent protéger leurs environnements en utilisant les indicateurs de compromission (IOC) inclus dans le rapport de **Microsoft** et en s'assurant que leur logiciel de sécurité est à jour.