✔Майнинговая малварь распространяется через рекомендации ИИ-чат-ботов - «Новости»

30 мая 2026 22 Новости / Отступы и поля / Ссылки / Сайтостроение / Преимущества стилей / Изображения 0

По данным специалистов Microsoft, жертвы этой кампании искали в сети популярные системные утилиты и инструменты для мониторинга железа — CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack и PDFgear. Изначально пользователей заманивали на вредоносные сайты через «отравленную» поисковую выдачу, но весной 2026 года исследователи начали фиксировать случаи, когда ссылки на вредоносные домены появляются в ответах ИИ-ассистентов.

Как отмечают эксперты, пользователи спрашивали чат-ботов, где скачать нужное ПО, а в ответ получали ссылки на вредоносные ресурсы. В компании полагают, что это развитие классической тактики отравления SEO, только теперь злоумышленники стремятся влиять не на поисковую выдачу, а на результаты, которые генерируют LLM.

На вредоносных сайтах размещалась кнопка загрузки ZIP-архива. Внутри находился легитимный исполняемый файл и вредоносная DLL, которая запускалась посредством DLL sideloading. В итоге атака приводила к установке легального инструмента для удаленного администрирования ScreenConnect.

После этого атакующие получали постоянный доступ к устройству жертвы и загружали дополнительный компонент SimpleRunPE.exe. Он закреплялся в системе с помощью записей автозагрузки в реестре и задач планировщика, добавлялся исключения в Microsoft Defender, выполнял проверки на наличие средств анализа и использовал технику process hollowing для запуска полезной нагрузки внутри доверенных процессов Windows.

В некоторых случаях вместо передачи файлов через ScreenConnect злоумышленники применяли PowerShell-скрипт, который загружал тот же вредоносный компонент под именем vlc.exe, маскируя его под медиаплеер VLC.

Закрепившись в системе, вредонос собирал подробную информацию о зараженной машине, связывался с управляющим сервером и загружал один из майнеров — gminer, lolMiner или SRBMiner-MULTI. Все они используют GPU для добычи криптовалюты.

По словам исследователей, эта кампания отличается от типичных случаев криптоджекинга. Вместо массового заражения случайных машин злоумышленники целенаправленно ищут системы с производительными видеокартами, стремясь получить максимальную прибыль от каждого взломанного устройства.

При этом майнинг — не единственная цель этой кампании. Наличие постоянного доступа к системам жертв через ScreenConnect позволяет использовать скомпрометированные хосты для кражи данных, бокового перемещения по сети и даже последующего развертывания шифровальщиков.

В общей сложности специалисты выявили более 150 вредоносных доменов, участвующих в этих атаках. В Microsoft подчеркивают, что сочетание рекомендаций ИИ-чат-ботов, маскировки под легитимное ПО и механизмов долговременного доступа демонстрируют, что злоумышленники активно адаптируют старые схемы под новые привычки пользователей.

Злоумышленники продвигают малварь не только через отравление SEO в поисковиках, но и через рекомендации ИИ-помощников. ИБ-специалисты обнаружили новую кампанию, которая нацелена на владельцев мощных ПК. Она позволяет злоумышленникам не только использовать устройства жертв для скрытого майнинга, но и сохранять к ним долговременный удаленный доступ. По данным специалистов Microsoft, жертвы этой кампании искали в сети популярные системные утилиты и инструменты для мониторинга железа — CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack и PDFgear. Изначально пользователей заманивали на вредоносные сайты через «отравленную» поисковую выдачу, но весной 2026 года исследователи начали фиксировать случаи, когда ссылки на вредоносные домены появляются в ответах ИИ-ассистентов. Как отмечают эксперты, пользователи спрашивали чат-ботов, где скачать нужное ПО, а в ответ получали ссылки на вредоносные ресурсы. В компании полагают, что это развитие классической тактики отравления SEO, только теперь злоумышленники стремятся влиять не на поисковую выдачу, а на результаты, которые генерируют LLM. На вредоносных сайтах размещалась кнопка загрузки ZIP-архива. Внутри находился легитимный исполняемый файл и вредоносная DLL, которая запускалась посредством DLL sideloading. В итоге атака приводила к установке легального инструмента для удаленного администрирования ScreenConnect. После этого атакующие получали постоянный доступ к устройству жертвы и загружали дополнительный компонент SimpleRunPE.exe. Он закреплялся в системе с помощью записей автозагрузки в реестре и задач планировщика, добавлялся исключения в Microsoft Defender, выполнял проверки на наличие средств анализа и использовал технику process hollowing для запуска полезной нагрузки внутри доверенных процессов Windows. В некоторых случаях вместо передачи файлов через ScreenConnect злоумышленники применяли PowerShell-скрипт, который загружал тот же вредоносный компонент под именем vlc.exe, маскируя его под медиаплеер VLC. Закрепившись в системе, вредонос собирал подробную информацию о зараженной машине, связывался с управляющим сервером и загружал один из майнеров — gminer, lolMiner или SRBMiner-MULTI. Все они используют GPU для добычи криптовалюты. По словам исследователей, эта кампания отличается от типичных случаев криптоджекинга. Вместо массового заражения случайных машин злоумышленники целенаправленно ищут системы с производительными видеокартами, стремясь получить максимальную прибыль от каждого взломанного устройства. При этом майнинг — не единственная цель этой кампании. Наличие постоянного доступа к системам жертв через ScreenConnect позволяет использовать скомпрометированные хосты для кражи данных, бокового перемещения по сети и даже последующего развертывания шифровальщиков. В общей сложности специалисты выявили более 150 вредоносных доменов, участвующих в этих атаках. В Microsoft подчеркивают, что сочетание рекомендаций ИИ-чат-ботов, маскировки под легитимное ПО и механизмов долговременного доступа демонстрируют, что злоумышленники активно адаптируют старые схемы под новые привычки пользователей.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.