A Microsoft revelou que uma nova onda de ataques de mineração de criptomoeda está direcionando seus esforços a usuários de computadores de alto desempenho, especialmente entusiastas de hardware e jogadores de PC. Diferentemente de ataques anteriores que buscavam infecções em larga escala, este ataque prioriza o poder de processamento de dispositivos individuais, visando ocupar recursos de GPU de alto nível para mineração ilegal.
Direcionar tráfego por meio de chatbots de IA e resultados de busca
Especialistas do Microsoft Defender afirmam que os atacantes estão utilizando envenenamento de SEO para inserir links maliciosos nas respostas de chatbots baseados em grandes modelos de linguagem. Usuários que pretendem baixar ferramentas de sistema comuns ou softwares de teste de hardware são redirecionados para sites falsos com aparência semelhante.
Os softwares disfarçados incluem CrystalDiskInfo, HWMonitor, FurMark, entre outros. Os usuários, ao fazerem o download, não recebem pacotes de instalação normais, mas sim pacotes ZIP contendo arquivos maliciosos.
Ocultar o programa de mineração por meio de ferramentas do sistema
Após a execução do arquivo malicioso, ele utiliza DLL side-loading para iniciar secretamente no sistema. Em seguida, a cadeia de ataque implanta ferramentas legítimas de gerenciamento remoto, como o ScreenConnect, para permitir que os atacantes mantenham o controle contínuo sobre o dispositivo vítima.
A Microsoft afirmou que os atacantes também utilizaram técnicas como "process hollowing". Um payload .NET personalizado inicialmente inicia uma ferramenta da Windows assinada pela Microsoft e, em seguida, injeta o código de mineração em seu espaço de memória, reduzindo assim a probabilidade de detecção.
Monitorar o uso da GPU para evitar detecção
Este tipo de malware monitora continuamente o estado do host, incluindo o uso da GPU e o tempo de inatividade do usuário. Quando a carga do sistema aumenta ou o usuário está utilizando o computador, o programa de mineração é interrompido automaticamente para evitar que a vítima perceba uma queda súbita no desempenho.
Ao mesmo tempo, o programa malicioso chama repetidamente o Windows PowerShell para tentar adicionar os caminhos relevantes às exceções do antivírus, prolongando ainda mais sua sobrevivência.
A Microsoft afirmou que o Microsoft Defender Antivirus e o Microsoft Defender for Endpoint já conseguem identificar e bloquear ameaças relacionadas a este ataque.