SEO poisoning и ИИ чатботи в нова cryptojacking кампания

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Координирана кампания за cryptojacking атакува потребители с високопроизводителни компютри чрез комбинация от SEO poisoning техники и манипулирани препоръки от ИИ чатботи. Според изследователи от Microsoft, нападателите насочват жертвите към фалшиви страници за изтегляне на популярни системни инструменти, използвани основно от геймъри, енусиасти и професионалисти с мощен хардуер.

Фалшиви версии на популярни инструменти

Сред най-често използваните примамки са приложения като:

  • CrystalDiskInfo
  • HWMonitor
  • Display Driver Uninstaller
  • FurMark
  • K-Lite Codec Pack
  • PDFgear

Нападателите повишават видимостта на злонамерените страници в резултатите на търсачките чрез SEO poisoning – техника, при която фалшиви сайтове се оптимизират така, че да изглеждат по-авторитетни и да се показват пред легитимните резултати.

ИИ чатботи също са използвани за разпространение

Особено тревожен е фактът, че в някои случаи жертвите са достигали до злонамерените домейни чрез препоръки, генерирани от ИИ асистенти.

Според Microsoft, потребители, които са питали чатботи за линкове за изтегляне на конкретен софтуер, са получавали URL адреси към контролирани от нападателите домейни. Един от наблюдаваните случаи включва фалшив линк за изтегляне на CrystalDiskMark.

Това показва как нападателите все по-често се възползват от доверието в генеративните системи за изкуствен интелект, използвайки автоматично генерирани препоръки като нов канал за malware разпространение.

Как протича заразяването

Зловредният ZIP архив е бил хостван в поддомейн на gleeze[.]com – домейн, свързван и преди с phishing операции.

Архивът съдържа:

  • легитимен executable файл на реалния инструмент;
  • злонамерена DLL библиотека, която се зарежда автоматично при стартиране.

След изпълнение DLL файлът използва msiexec.exe, за да инсталира vcredist_x64.dll, който всъщност представлява инсталатор за легитимния remote management инструмент ScreenConnect.

Така атакуващите получават постоянен отдалечен достъп до компрометираната система.

Persistence механизми и process hollowing

След установяване на ScreenConnect сесия нападателите инсталират допълнителен бинарен файл – SimpleRunPE.exe, който се копира като RuntimeHost.exe в скрита директория.

Microsoft посочва, че malware-ът създава шест различни persistence механизма в Windows autostart локации, за да гарантира повторно изпълнение след рестарт.

В някои случаи malware-ът се доставя чрез PowerShell скрипт и се записва като vlc.exe, имитирайки популярния мултимедиен плейър VLC media player.

Кампанията използва и техника за издълбаване – метод, при който злонамерен код се инжектира в легитимен процес, подписан от Microsoft. Сред използваните процеси са:

  • InstallUtil.exe
  • RegAsm.exe
  • MSBuild.exe
  • aspnet_compiler.exe

Целта е malware-ът да се скрие зад проверени бинарни файлове за Windows и да избегне detection механизми.

Опити за заобикаляне на защитата

Зловредният софтуер:

  • добавя собствени изключения в Microsoft Defender;
  • проверява дали работи във virtual machine среда;
  • търси над 40 различни analysis и debugging инструмента;
  • прекратява изпълнение при откриване на sandbox или среда за анализ на сигурността.

Тези техники значително усложняват откриването и анализа на заплахата.

GPU cryptomining с фокус върху мощни системи

След успешното компрометиране се изтегля един от три GPU mining инструмента:

  • gminer
  • lolMiner
  • SRBMiner-MULTI

Всички те са оптимизирани за използване на графични процесори (GPU), което обяснява защо нападателите се фокусират върху high-end компютри с мощни видеокарти.

Според Microsoft, кампанията се отличава с това, че е проектирана не за масов обхват, а за максимална доходност от всяка отделна компрометирана система.

Как организациите могат да се защитят

Специалистите препоръчват:

  • изтегляне на софтуер само от официални сайтове;
  • избягване на линкове, предложени от непознати източници или автоматично генерирани резултати;
  • monitoring за неоторизирани ScreenConnect инсталации;
  • активиране на behavior-защита, основана на поведението;
  • следене за необичайно GPU натоварване;
  • ограничаване на PowerShell execution policies;
  • използване на indicators of compromise (IoC), публикувани от Microsoft.
#cryptojacking, # GPU mining, # ScreenConnect, # SEO poisoning, # ИИ чатботи
e-security.bg

Подобни

Украинeц се призна за виновен за участие в операциите на Conti ransomware
15.06.2026
ransomware
Защо RDP се превръща в предпочитано оръжие на съвременния рансъмуер
14.06.2026
gettyimages-1355321121
ShinyHunters е използвала zero-day уязвимост в Oracle PeopleSoft
14.06.2026
Oracle
Фалшиви FIFA сайтове крадат банкови карти и кодове за потвърждение
13.06.2026
fifa-world-cup
Miasma: Опасната еволюция на Shai-Hulud заплашва екосистемата с отворен код
12.06.2026
malware
GitHub ограничава автоматичното изпълнение на код при инсталиране на пакети
12.06.2026
GitHub___headpic (1)

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy