Microsoft a révélé qu'une nouvelle vague d'attaques de minage de cryptomonnaies cible désormais les utilisateurs d'ordinateurs haute performance, en particulier les passionnés de matériel et les joueurs PC. Contrairement aux attaques précédentes qui visaient une infection à grande échelle, celle-ci se concentre sur la puissance de calcul d'un seul appareil, dans le but d'utiliser illégalement les ressources GPU haut de gamme pour le minage.
Utiliser des chatbots IA et des résultats de recherche pour générer du trafic
Les experts de Microsoft Defender indiquent que les attaquants exploitent le poison SEO en intégrant des liens malveillants dans les réponses des chatbots basés sur de grands modèles linguistiques. Les utilisateurs, qui cherchaient initialement à télécharger des outils système courants ou des logiciels de test matériel, sont redirigés vers des sites web contrefaits ressemblant à des sites légitimes.
Les logiciels détournés incluent CrystalDiskInfo, HWMonitor, FurMark, etc. Les utilisateurs ne reçoivent pas de package d'installation normal après téléchargement, mais un fichier ZIP contenant des fichiers malveillants.
Masquer le programme de minage à l'aide des outils système
Après l'exécution du fichier malveillant, il démarre discrètement le système en utilisant le DLL side-loading. Ensuite, la chaîne d'attaque déploie des outils légitimes de gestion à distance tels que ScreenConnect afin de permettre un contrôle persistant de l'appareil victime.
Microsoft indique que les attaquants ont également utilisé des techniques telles que le « process hollowing ». Un charge utile .NET personnalisé démarre d'abord un outil Windows signé par Microsoft, puis injecte le code de minage dans son espace mémoire afin de réduire les chances d'être détecté.
Surveiller l'utilisation du GPU pour éviter d'être détecté
Ce cheval de Troie surveille en continu l'état de l'hôte, y compris l'utilisation du GPU et le temps d'inactivité de l'utilisateur. Dès que la charge système augmente ou que l'utilisateur utilise l'ordinateur, le minage s'arrête automatiquement pour éviter que la victime ne remarque une baisse soudaine des performances.
En parallèle, le programme malveillant appelle répétitivement Windows PowerShell pour essayer d'ajouter les chemins concernés aux exclusions des logiciels antivirus, prolongeant ainsi sa durée de vie.
Microsoft indique que Microsoft Defender Antivirus et Microsoft Defender for Endpoint sont désormais capables d'identifier et d'intercepter les menaces liées à cette campagne d'attaques.