A Microsoft alertou para uma campanha ativa de cryptojacking que usa interações com chatbots de inteligência artificial para levar usuários a sites maliciosos de download.
“Essa técnica emergente de distribuição estende a engenharia social para além dos resultados convencionais de busca e aumenta a visibilidade de recomendações de software malicioso”, disseram os times Microsoft Defender Experts e Microsoft Defender Security Research Team em um relatório publicado na terça-feira.
Segundo a empresa, a atividade se passa por utilitários legítimos de sistema, como CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack e PDFgear, provavelmente numa tentativa de atingir usuários com GPUs de alto desempenho.
A estratégia é comprometer máquinas com maior valor para mineração, em vez de infectar indiscriminadamente um grande número de dispositivos.
Os objetivos da campanha não são apenas financeiros.
Os threat actors também foram identificados estabelecendo acesso remoto persistente a hosts comprometidos por meio de implantações do ScreenConnect, o que pode ser aproveitado em etapas posteriores, como roubo de dados, movimentação lateral ou ransomware.
A cadeia de ataque é mais deliberada do que outras campanhas típicas de mineração de criptomoedas.
Em vez de buscar volume, ela seleciona endpoints que maximizam o rendimento da mineração por GPU em cada dispositivo comprometido.
A Microsoft informou que detectou e bloqueou atividades associadas à campanha.
Tudo começa quando os usuários pesquisam utilitários confiáveis de sistema e softwares de monitoramento de hardware em mecanismos de busca, que passam a exibir sites maliciosos impulsionados por técnicas como envenenamento de SEO.
Versões mais recentes observadas em abril de 2026 indicam que os usuários estão sendo direcionados para esses sites não pelos resultados de busca, mas por interações com ferramentas baseadas em modelos de linguagem de grande porte.
“Nesses casos, usuários que consultavam chatbots de IA para recomendações de download de software receberam links para domínios controlados pelos atacantes dentro das respostas geradas”, disse a Microsoft.
“Embora esse comportamento se baseie em padrões observados e em fontes de dados correlacionadas, ele é consistente com técnicas emergentes de envenenamento de resultados de busca em IA, representando uma extensão do envenenamento de SEO tradicional além dos mecanismos de busca convencionais.”
Cada um desses sites exibe um botão de download em destaque, que baixa um arquivo ZIP de um subdomínio específico da campanha em gleeze[.]com.
A infraestrutura está associada à Dynu, um provedor de DNS dinâmico frequentemente usado por threat actors.
Mais de 150 domínios maliciosos já foram identificados distribuindo as ferramentas maliciosas.
O arquivo ZIP baixado contém um executável legítimo, junto com uma DLL maliciosa chamada “autorun.dll”, que é carregada lateralmente quando o usuário executa o binário.
A DLL foi projetada para instalar uma segunda DLL maliciosa, chamada “vcredist_x64.dll”, usando “msiexec.exe”.
O arquivo funciona como um instalador empacotado do software ScreenConnect.
Depois que o ScreenConnect é instalado, o cliente tenta continuamente estabelecer contato com um servidor controlado pelo atacante localizado em “193.42.11[.]108”.
A sessão do ScreenConnect então serve como canal para um executável chamado “SimpleRunPE.exe”.
Esse binário é responsável por estabelecer persistência no host usando chaves Run do Registro e tarefas agendadas, configurar exclusões do Microsoft Defender, executar verificações anti-análise e empregar process hollowing para iniciar o código de mineração sob um binário confiável assinado pela Microsoft.
Em alguns casos, em vez de usar a função de transferência de arquivos do ScreenConnect para soltar o binário, um script de PowerShell é usado para baixá-lo de uma unidade remota, armazená-lo localmente como “vlc.exe” para passar despercebido, criar uma tarefa agendada para executá-lo e, em seguida, apagar o próprio script.
O binário injetado, por sua vez, se comunica com o servidor do atacante, envia informações detalhadas sobre o host, baixa em tempo de execução o arquivo compactado adequado do minerador e o executa.
O malware oferece suporte a três programas de mineração: gminer, lolMiner e SRBMiner-MULTI.
Além disso, o binário recria os artefatos de persistência para garantir presença contínua e reconfigura as exclusões do Defender caso elas sejam removidas.
Ele também monitora processos em execução e encerra imediatamente o minerador se detectar qualquer um dos seguintes processos:
taskmgr.exe, Windows Task Manager
processhacker.exe, processhacker2.exe, Process Hacker
procexp.exe, procexp64.exe, Process Explorer
systeminformer.exe, System Informer
“Essa combinação de distribuição assistida por IA, falsificação de software e acesso persistente mostra como os threat actors estão adaptando suas estratégias de engenharia social e monetização ao comportamento moderno dos usuários”, disse a Microsoft.
A divulgação ocorre poucos dias depois de a Microsoft detalhar outro caso em que um threat actor desconhecido comprometeu um appliance F5 BIG-IP exposto na internet e abusou de relações de confiança para avançar até um host Linux interno.
O episódio reforça o uso contínuo de appliances de borda expostos como ponto inicial de acesso.
Segundo a empresa, o host Linux permitiu ao atacante fazer reconhecimento abrangente e mover-se lateralmente até um servidor Atlassian Confluence vulnerável, embora as tentativas de executar código remoto por meio de falhas de segurança sem patch no software tenham falhado.
Para contornar essas restrições, o threat actor teria configurado um servidor FTP no host Linux inicial usando o módulo ftplib do Python para transferir uma ferramenta de varredura personalizada ao servidor Confluence e, depois, obter credenciais para autenticação subsequente na infraestrutura Windows.
Em seguida, vieram ataques de retransmissão Kerberos e a exploração da
CVE-2025-33073
.
“A partir daí, o threat actor comprometeu um aplicativo SaaS vulnerável e usou suas credenciais para conduzir ataques de autenticação em estilo relay contra o Active Directory”, informou a Microsoft.
“Nesse incidente, o threat actor se autenticou em um servidor Linux por SSH usando uma conta privilegiada.
Ele manteve esse nível de acesso durante toda a atividade observada sem estabelecer mecanismos explícitos de persistência, o que reforça o risco representado por identidades com privilégios excessivos e permissões sudo.”
No início deste mês, a Microsoft também revelou outra intrusão em que atacantes abusaram de relações operacionais confiáveis e de processos de autenticação para estabelecer acesso duradouro, explorando um provedor terceirizado de serviços de TI comprometido e ferramentas legítimas de gerenciamento para orquestrar uma campanha furtiva voltada ao acesso de longo prazo e ao roubo de credenciais.
“Provedores terceirizados de serviços e ferramentas integradas de gerenciamento podem se tornar brechas de fiscalização quando a visibilidade é limitada ou a validação é presumida.
Os threat actors entendem isso”, disse a empresa, sediada em Redmond.
“Eles aproveitam componentes legítimos, caminhos de atualização confiáveis e integrações aprovadas para se ancorar em ambientes que parecem conformes na superfície.”
“Os defensores devem adotar uma postura de verificação deliberada.
Confiem em seus fornecedores e ferramentas, mas validem seu comportamento dentro do ambiente.
Organizações que atuam em setores sensíveis devem presumir que threat actors com esse nível de técnica continuarão refinando o abuso de terceiros, a interceptação de credenciais e mecanismos furtivos de persistência para manter acesso estratégico.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...