マイクロソフトは、新たな暗号通貨マイニング攻撃が高性能コンピュータユーザー、特にハードウェアマニアやPCゲームプレイヤーをターゲットにしていることを明らかにしました。従来の大規模感染を目的とするのとは異なり、今回の攻撃は単一デバイスの計算能力を最大限に活用し、高級GPUリソースを不正に使用してマイニングを行うことを目的としています。
AIチャットボットと検索結果を利用してトラフィックを獲得
マイクロソフト Defender エキスパートは、攻撃者が検索エンジン最適化ポイズニングを悪用し、悪意のあるリンクを大規模言語モデルチャットボットの回答に埋め込んでいると述べています。ユーザーは一般的なシステムツールやハードウェアテストソフトウェアをダウンロードしようとしていたのに、外観が似た偽サイトに誘導されています。
偽装されて利用されたソフトウェアには、CrystalDiskInfo、HWMonitor、FurMark などが含まれます。ユーザーがダウンロードしたのは通常のインストーラではなく、悪意のあるファイルが含まれたZIP圧縮ファイルです。
システムツールを使用してマイニングプログラムを非表示にする
悪意のあるファイルが実行されると、DLLサイドローディングを活用してシステム内で静かに起動します。その後、攻撃チェーンはScreenConnectなどの正当なリモート管理ツールを展開し、攻撃者が被害デバイスを継続的に制御できるようにします。
マイクロソフトは、攻撃者が「プロセスホールディング」などの手法も使用したと述べています。カスタムの.NETペイロードが、マイクロソフトが署名したWindowsツールを起動し、そのメモリ空間にマイニングコードを注入することで、検出される確率を低下させています。
GPU使用率を監視して検出を回避する
このタイプのトロイの木馬は、GPUの使用状況やユーザーの非アクティブ時間などを含むホストの状態を継続的に監視します。システムの負荷が上昇したり、ユーザーがコンピュータを使用している場合、マイニングプログラムは自動的に停止し、ユーザーがパフォーマンスの急激な低下に気づかないようにします。
また、悪意のあるプログラムはWindows PowerShellを繰り返し呼び出し、関連するパスをウイルス対策ソフトの除外リストに追加しようとして、生存時間をさらに延長します。
マイクロソフトは、Microsoft Defender Antivirus および Microsoft Defender for Endpoint がこの攻撃に関連する脅威を認識し、ブロックできるようになったと発表しました。