脅威アクターは、現在進行中のクリプトジャッキングキャンペーンにおいて、高性能コンピューターを搭載したシステムを積極的に標的にしています。この攻撃は、AIチャットボットの推奨を操作する、協調されたSEOポイズニング操作を通じて拡散しています。 ### 感染経路 侵害は、正規のユーティリティソフトウェアを装った悪意のあるダウンロードページを通じて発生します。これらのユーティリティは通常、強力なシステムの所有者によってインストールされ、**CrystalDiskInfo**、**HWMonitor**、**Display Driver Uninstaller**、**FurMark**、**K-Lite Codec Pack**、**PDFgear**などのツールが含まれます。 システムが感染すると、攻撃者は正規のリモート管理ツールである**ScreenConnect**を展開することで永続的なアクセスを獲得します。これにより、後で追加のマルウェアをインストールできるようになります。 ### SEOポイズニングとAI操作 **Microsoft**の研究者がこのキャンペーンを発見し、攻撃はユーザーが前述のユーティリティのいずれかを検索したときに開始されると判断しました。検索結果はSEOポイズニングを通じて操作され、悪意のあるリンクが目立つように表示されます。 報告によると、AIベースのアシスタントと対話した後も、ユーザーは悪意のあるドメインに誘導されていました。「これらの場合、ソフトウェアのダウンロード推奨をAIチャットボットに問い合わせたユーザーは、生成された応答内に攻撃者によって制御されたドメインへのリンクを提示されました」と**Microsoft**は述べています。  ### マルウェア配信と永続化 悪意のあるダウンロードは、フィッシング活動で以前にフラグが立てられたドメインである`gleeze[.]com`のサブドメインでホストされているZIPアーカイブです。アーカイブには、ユーティリティの正規の実行可能ファイルと悪意のあるDLLの両方が含まれています。DLLは、無害なバイナリが起動されると自動的にロードされます。 **Microsoft**によると、DLLは`msiexec.exe`を使用して、**ScreenConnect**リモートアクセスツールのパッケージインストーラーである`vcredist_x64.dll`をインストールします。 **ScreenConnect**セッションを確立した後、攻撃者は`SimpleRunPE.exe`という名前の別のバイナリをドロップし、これは隠しフォルダに`RuntimeHost.exe`としてコピーされます。この実行可能ファイルの目的は、「複数のWindows自動起動場所にわたる6つの永続化メカニズム」を確立することです。  一部のインスタンスでは、バイナリは悪意のあるPowerShellスクリプトを介してドロップされ、人気のある**VideoLAN**マルチメディアプレーヤーの実行可能ファイルを偽装して`vlc.exe`としてローカルに保存されます。 ### プロセスホローイングと防御回避 `SimpleRunPE.exe`のプログラムデータベース（PDB）パスに基づいて、研究者はこれがプロセスホローイング技術を示す公開リポジトリのフォークであると考えています。脅威アクターは、この技術をステルス目的で使用し、`InstallUtil.exe`、`RegAsm.exe`、`RegSvcs.exe`、`MSBuild.exe`、`AppLaunch.exe`、`AddInProcess.exe`、`aspnet_compiler.exe`などの正規の**Microsoft**署名済み.NETバイナリに悪意のあるコードを注入します。 悪意のあるバイナリはまた、PowerShellを呼び出して、そのパスとプロセスを**Microsoft Defender**の除外リストに追加します。 ### 仮想マシンと分析ツールの検出 さらに、マルウェアは仮想マシンと分析ツールに対応する40個のプロセス名のセットを環境でチェックします。いずれかが特定された場合、マルウェアは実行を終了します。 ### 仮想通貨マイニング プロセスホローイングステージを完了し、**Microsoft**署名済みのWindowsユーティリティ内で実行された後、3つのマイニングモジュールのいずれかがダウンロードおよび実行されます。サポートされているマイニングプログラムは`gminer`、`lolMiner`、`SRBMiner-MULTI`であり、すべてグラフィックス処理ユニット（GPU）を利用するように設計されています。 **Microsoft**は、この仮想通貨キャンペーンは、「侵害されたデバイスあたりのGPUマイニング収益を最大化するためにゼロから設計されたターゲティングと収益化戦略」で注目に値すると強調しており、多数のデバイスを感染させることに焦点を当てているわけではありません。 ### 緩和策 組織は、**Microsoft**レポートに含まれる侵害の兆候（IOC）を使用し、セキュリティソフトウェアが最新であることを確認することで、環境を保護できます。