Microsoft reveló que una nueva ola de ataques de minería de criptomonedas está dirigiéndose hacia usuarios de computadoras de alto rendimiento, especialmente entusiastas del hardware y jugadores de PC. A diferencia de ataques anteriores que buscaban infecciones a gran escala, este ataque se enfoca en la capacidad de procesamiento de cada dispositivo individual, con el objetivo de utilizar recursos GPU de gama alta para minería ilegal.
Atraer tráfico mediante chatbots de IA y resultados de búsqueda
Los expertos de Microsoft Defender indican que los atacantes están aprovechando el envenenamiento de SEO para incrustar enlaces maliciosos en las respuestas de chatbots de modelos de lenguaje grandes. Los usuarios que solo buscan descargar herramientas del sistema comunes o software de prueba de hardware son redirigidos a sitios web falsos que se parecen mucho al original.
Los software utilizados con disfraz incluyen CrystalDiskInfo, HWMonitor, FurMark, entre otros. Los usuarios que los descargan no reciben paquetes de instalación normales, sino archivos ZIP con archivos maliciosos.
Ocultar el programa de minería mediante herramientas del sistema
Después de ejecutarse, el archivo malicioso inicia silenciosamente el sistema mediante DLL side-loading. Luego, la cadena de ataque implementa herramientas legítimas de gestión remota como ScreenConnect para permitir el control continuo del dispositivo afectado por parte del atacante.
Microsoft indicó que los atacantes también utilizaron técnicas como "process hollowing". Una carga .NET personalizada primero inicia una herramienta de Windows con firma de Microsoft y luego inyecta el código de minería en su espacio de memoria, reduciendo así la probabilidad de ser detectada.
Monitorear el uso de la GPU para evadir la detección
Este troyano monitorea continuamente el estado del host, incluyendo el uso de la GPU y el tiempo de inactividad del usuario. Cuando la carga del sistema aumenta o el usuario está utilizando la computadora, el programa de minería se detiene automáticamente para evitar que la víctima note una caída repentina en el rendimiento.
Al mismo tiempo, el programa malicioso llama repetidamente a Windows PowerShell para intentar agregar las rutas relevantes a la lista de exclusiones del software antivirus, prolongando así su tiempo de supervivencia.
Microsoft indica que Microsoft Defender Antivirus y Microsoft Defender for Endpoint ya pueden identificar e interceptar las amenazas relacionadas con este ataque.