Inilah ng Microsoft na isang bagong hamon ng crypto mining ay nagtatarget sa mga user ng high-performance computers, lalo na ang mga hardware enthusiasts at PC gamers. Sa pagkakaiba sa mga nakaraang pag-atake na naglalayong makakuha ng malawakang pagkaka-infected, ang kamakailang pag-atake ay mas nakatuon sa output ng computing power ng isang solong device, na layuning gamitin ang mga mataas na kalidad na GPU para sa ilegal na mining.
Gumamit ng AI chatbot at mga resulta ng paghahanap para sa pagdudulot ng trapiko
Sinabi ng mga eksperto ng Microsoft Defender na ang mga attacker ay gumagamit ng search engine optimization poisoning at naglalagay ng masamang link sa mga sagot ng chatbots na may malalaking modelo. Ang mga user na nais lamang i-download ang karaniwang system tools o hardware testing software ay dadalhin sa mga mukhang katulad na fake websites.
Ang mga software na ginamit nang masama ay kasama ang CrystalDiskInfo, HWMonitor, FurMark, atbp. Ang mga user ay hindi nakakakuha ng normal na installer pagkatapos mag-download, kundi isang ZIP compression file na may masamang file.
Itago ang mining program gamit ang system tools
Pagkatapos mag-run ng masamang file, ito ay gagamit ng DLL side-loading upang magsimula nang tahimik sa sistema. Pagkatapos, ang attack chain ay magde-deploy ng mga legal na remote management tool tulad ng ScreenConnect upang mapanatili ang kontrol ng mga attacker sa mga biktima.
Sinabi ng Microsoft na ginamit din ng mga attacker ang mga teknik tulad ng "process hollowing". Isang custom .NET payload ay una nang iuunlad ang Windows tool na may Microsoft signature, at pagkatapos ay i-inject ang mining code sa memory space nito upang bawasan ang posibilidad ng pagkakamal.
I-monitor ang paggamit ng GPU upang maiwasan ang pagkakakilanlan
Ang mga malware na ito ay patuloy na sinusubaybayan ang estado ng host, kabilang ang paggamit ng GPU at ang oras ng pagkawala ng aktibidad ng user. Kapag tumataas ang system load o kapag gumagamit ang user ng computer, tumitigil agad ang mining program upang maiwasan ang pagkakatuklas ng biktima sa biglaang pagbaba ng performance.
Samantala, ang masamang programa ay paulit-ulit na tumatawag sa Windows PowerShell upang subukan ang pagdaragdag ng mga kaugnay na path sa listahan ng paglilipas ng antivirus, upang higit pang palawakin ang panahon ng pagkakaroon.
Sinabi ng Microsoft na nakakakilala at nakakapigil na ang Microsoft Defender Antivirus at Microsoft Defender for Endpoint sa mga banta na kaugnay ng serye ng pag-atake na ito.