微软威胁情报已发现了一场复杂的加密劫持活动,结合了网络利用和极其复杂的社会工程。
此活动刻意针对硬件爱好者和PC游戏玩家,以劫持他们的高性能GPU资源来非法挖掘加密货币。
微软Defender专家观察到,威胁行为者目前正在毒化AI聊天机器人的结果,以欺骗毫无防备的用户下载恶意软件。
热门故事 XRP达到14亿美元的ETF资金 柴犬(SHIB)卖家耗尽,狗狗币(DOGE)零增加是时间问题,XRP复苏开始:加密市场回顾
人工智能和搜索引擎优化攻击链
加密劫持活动往往优先考虑感染量而非精准度。
然而,这一新发现的活动被特别设计为每台设备获取尽可能多的收益。
攻击者使用搜索引擎优化(SEO)毒化以及嵌入在大语言模型(LLM)聊天机器人生成的响应中的恶意链接来诱骗目标。
卡片
希望下载一些合法软件的用户被引导到相似的域名。
恶意网站伪装成流行的硬件监控和系统工具。
被攻陷的下载包包括CrystalDiskInfo、HWMonitor、FurMark等。
高级规避
下载目标软件后,他们收到一个包含恶意文件的ZIP压缩文件。
系统通过DLL侧加载静默启动恶意软件。
从那里,恶意软件部署ScreenConnect,这是一种合法的商业远程管理工具。这使得不法行为者能够获得对计算机的持续访问权限。
威胁行为者执行一种被称为进程空洞化的技术。
一个名为的自定义.NET负载启动一个受信任的、微软签名的Windows工具,并将其挖矿代码直接注入到受信任工具的内存空间中。
加载程序随后下载以GPU为中心的挖矿客户端,例如gminer。
恶意软件不断监视主机系统以保持不被检测:
它监视活跃的GPU使用情况和用户的闲置时间。矿工会自动终止其活动,因此受害者不会注意到PC性能的突然下降。
该软件反复操控Windows PowerShell,以向防病毒设置添加排除路径。
微软确认,Microsoft Defender Antivirus和Microsoft Defender for Endpoint可以检测并阻止与此活动相关的威胁。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
