Microsoft mengungkapkan bahwa serangan penambangan kripto baru sedang menargetkan pengguna komputer berperforma tinggi, terutama para penggemar perangkat keras dan pemain game PC. Berbeda dengan serangan sebelumnya yang mengejar infeksi skala besar, serangan kali ini lebih memprioritaskan daya komputasi per perangkat, dengan tujuan memanfaatkan sumber daya GPU high-end untuk penambangan ilegal.
Menggunakan chatbot AI dan hasil pencarian untuk menarik lalu lintas
Para ahli Microsoft Defender menyatakan bahwa penyerang sedang memanfaatkan poison SEO dan menyisipkan tautan berbahaya ke dalam jawaban chatbot model bahasa besar. Pengguna yang awalnya hanya ingin mengunduh alat sistem umum atau perangkat lunak pengujian perangkat keras, justru diarahkan ke situs palsu yang tampak mirip.
Perangkat lunak yang dimanfaatkan secara palsu meliputi CrystalDiskInfo, HWMonitor, FurMark, dll. Pengguna yang mengunduhnya tidak mendapatkan paket instalasi normal, tetapi paket ZIP yang berisi file berbahaya.
Sembunyikan program penambangan melalui alat sistem
Setelah file jahat dijalankan, ia akan memanfaatkan DLL side-loading untuk secara diam-diam memulai di sistem. Selanjutnya, rantai serangan akan mendeploy alat manajemen jarak jauh sah seperti ScreenConnect agar penyerang dapat terus mengendalikan perangkat korban.
Microsoft menyatakan bahwa penyerang juga menggunakan teknik seperti "process hollowing". Sebuah beban .NET khusus akan terlebih dahulu memulai alat Windows yang ditandatangani Microsoft, lalu menyuntikkan kode penambangan ke ruang memori tersebut untuk mengurangi kemungkinan terdeteksi.
Memantau penggunaan GPU untuk menghindari deteksi
Trojan ini terus memantau status host, termasuk penggunaan GPU dan waktu idle pengguna. Saat beban sistem meningkat atau pengguna sedang menggunakan komputer, program penambangan akan berhenti secara otomatis agar korban tidak menyadari penurunan performa yang mendadak.
Sementara itu, program jahat juga akan memanggil Windows PowerShell berulang kali untuk mencoba menambahkan jalur terkait ke daftar pengecualian perangkat lunak antivirus, sehingga memperpanjang masa aktifnya.
Microsoft menyatakan bahwa Microsoft Defender Antivirus dan Microsoft Defender for Endpoint telah dapat mengenali dan menghalangi ancaman yang terkait dengan serangan ini.