### Engenharia Social com IA **A Microsoft Defender Experts** e a **Microsoft Defender Security Research Team** revelaram que atores de ameaças estão usando chatbots de IA para promover software malicioso, se passando por utilitários de sistema legítimos como CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack e PDFgear. A campanha visa comprometer sistemas com GPUs de alto desempenho, maximizando o rendimento da mineração. ### Acesso Persistente e Roubo de Dados Os atacantes não estão focados apenas em ganhos financeiros. Eles estabelecem acesso remoto persistente através de implantações de **ScreenConnect**, potencialmente levando a roubo de dados, movimento lateral ou ataques de ransomware. ### Detalhes da Cadeia de Ataque O ataque começa com usuários procurando por utilitários confiáveis, levando-os a sites maliciosos impulsionados por SEO poisoning. Mais recentemente, os usuários estão sendo direcionados a esses sites através de interações com chatbots de IA. "Nesses casos, usuários que consultam chatbots de IA para recomendações de download de software foram apresentados com links para domínios controlados por atacantes dentro de respostas geradas", afirmou a **Microsoft**. Esses sites hospedam botões de download que recuperam arquivos ZIP de subdomínios de gleeze[.]com, hospedados pela **Dynu**, um provedor de DNS dinâmico frequentemente usado por atores maliciosos. Mais de 150 domínios maliciosos foram identificados.  ### Instalação de Malware e Persistência O ZIP baixado contém um executável legítimo e uma DLL maliciosa ("autorun.dll") que instala uma segunda DLL chamada "vcredist_x64.dll" usando "msiexec.exe". Este arquivo é um instalador empacotado para **ScreenConnect**. Uma vez instalado, o **ScreenConnect** tenta se conectar a um servidor controlado pelo atacante. A sessão do **ScreenConnect** então entrega um executável chamado "SimpleRunPE.exe". Este binário estabelece persistência através de chaves de Registro Run e tarefas agendadas, configura exclusões do **Microsoft Defender**, realiza verificações anti-análise e usa process hollowing para lançar o código de mineração sob um binário assinado pela **Microsoft**. Alguns comprometimentos envolvem um script **PowerShell** para buscar o binário de uma unidade remota, salvá-lo como "vlc.exe" para evadir detecção, criar uma tarefa agendada para executá-lo e, em seguida, se autoexcluir. ### Operações de Mineração O binário "hollowed" se comunica com o servidor do atacante, transmite informações do host, baixa o arquivo do miner e o executa. O malware suporta gminer, lolMiner e SRBMiner-MULTI. O binário também recria artefatos de persistência e reconfigura exclusões do **Defender** se removidas. Ele monitora processos em execução, encerrando o miner se detectar o **Windows Task Manager**, Process Hacker, Process Explorer ou System Informer. ### Avisos de Segurança Mais Amplos da Microsoft Esta divulgação segue o alerta da **Microsoft** sobre atacantes que comprometeram um appliance de firewall **F5 BIG-IP** voltado para a internet e fizeram pivô para um host Linux interno, explorando appliances de borda voltados para a internet para acesso inicial. O atacante usou o host Linux para se mover lateralmente para um servidor **Atlassian Confluence** vulnerável. Eles configuraram um servidor FTP usando o módulo **Python ftplib** para transferir uma ferramenta de varredura personalizada e obter credenciais para autenticação contra a infraestrutura **Windows**, seguido por ataques de retransmissão Kerberos e a exploração da **CVE-2025-33073**.  "Neste incidente, o ator de ameaça autenticou-se em um servidor Linux via SSH usando uma conta privilegiada. O ator de ameaça manteve esse nível de acesso durante a atividade observada sem estabelecer mecanismos explícitos de persistência, ressaltando o risco representado por identidades superprivilegiadas com direitos sudo." No início deste mês, a **Microsoft** destacou outra intrusão onde atacantes abusaram de relacionamentos operacionais confiáveis e processos de autenticação através de um provedor de serviços de TI terceirizado comprometido. A **Microsoft** aconselha os defensores a adotarem uma postura de verificação deliberada e validar o comportamento do fornecedor dentro de seu ambiente.