Atores de ameaça estão visando ativamente sistemas equipados com computadores de alto desempenho em uma campanha contínua de cryptojacking. O ataque se espalha por meio de uma operação coordenada de SEO poisoning que também manipula as recomendações de chatbots de IA. ### Vetor de Infecção O comprometimento ocorre através de páginas de download maliciosas disfarçadas de softwares utilitários legítimos. Esses utilitários são tipicamente instalados por proprietários de sistemas poderosos e incluem ferramentas como **CrystalDiskInfo**, **HWMonitor**, **Display Driver Uninstaller**, **FurMark**, **K-Lite Codec Pack** e **PDFgear**. Uma vez que um sistema é infectado, o atacante ganha acesso persistente implantando a ferramenta legítima de gerenciamento remoto **ScreenConnect**. Isso permite que eles instalem malware adicional posteriormente. ### SEO Poisoning e Manipulação de IA Pesquisadores da **Microsoft** descobriram a campanha e determinaram que o ataque começa quando os usuários buscam por um dos utilitários mencionados. Os resultados da pesquisa são manipulados através de SEO poisoning para exibir links maliciosos de forma proeminente. Relatórios indicam que os usuários também foram direcionados para os domínios maliciosos após interagir com assistentes baseados em IA. "Nesses casos, usuários que consultam chatbots de IA para recomendações de download de software foram apresentados com links para domínios controlados pelo atacante dentro de respostas geradas", afirmou a **Microsoft**.  ### Entrega de Malware e Persistência O download malicioso é um arquivo ZIP hospedado em um subdomínio em `gleeze[.]com`, um domínio anteriormente sinalizado por atividade de phishing. O arquivo contém tanto o executável legítimo do utilitário quanto uma DLL maliciosa. A DLL é carregada automaticamente quando o binário benigno é iniciado. De acordo com a **Microsoft**, a DLL usa `msiexec.exe` para instalar `vcredist_x64.dll`, um instalador de pacote para a ferramenta de acesso remoto **ScreenConnect**. Após estabelecer uma sessão **ScreenConnect**, o atacante deixa cair outro binário chamado `SimpleRunPE.exe`, que se copia como `RuntimeHost.exe` para uma pasta oculta. O propósito deste executável é estabelecer "seis mecanismos de persistência em múltiplos locais de inicialização automática do Windows".  Em alguns casos, o binário é entregue via um script PowerShell malicioso e salvo localmente como `vlc.exe`, imitando o executável do popular player multimídia **VideoLAN**. ### Process Hollowing e Evasão de Defesa Com base no caminho do Program Database (PDB) do `SimpleRunPE.exe`, os pesquisadores acreditam que ele é um fork de um repositório público demonstrando a técnica de process hollowing. O ator de ameaça usa essa técnica para furtividade, injetando código malicioso em binários legítimos assinados pela **Microsoft** como `InstallUtil.exe`, `RegAsm.exe`, `RegSvcs.exe`, `MSBuild.exe`, `AppLaunch.exe`, `AddInProcess.exe` e `aspnet_compiler.exe`. O binário malicioso também invoca o PowerShell para adicionar seu caminho e processo à lista de exclusão no **Microsoft Defender**. ### Detecção de Máquina Virtual e Ferramenta de Análise Adicionalmente, o malware verifica o ambiente em busca de máquinas virtuais e um conjunto de 40 nomes de processos correspondentes a ferramentas de análise. Se alguma for identificada, o malware encerra sua execução. ### Mineração de Criptomoedas Após completar a fase de process hollowing e rodar dentro de um utilitário do Windows assinado pela **Microsoft**, um dos três módulos de mineração é baixado e executado. Os programas de mineração suportados são `gminer`, `lolMiner` e `SRBMiner-MULTI`, todos projetados para utilizar unidades de processamento gráfico (GPUs). A **Microsoft** enfatiza que esta campanha de criptomoedas é notável por sua "estratégia de direcionamento e monetização projetada do zero para maximizar o rendimento da mineração de GPU por dispositivo comprometido", em vez de focar em infectar um grande número de dispositivos. ### Mitigação As organizações podem proteger seus ambientes usando os indicadores de comprometimento (IOCs) incluídos no relatório da **Microsoft** e garantindo que seu software de segurança esteja atualizado.