Malware penambangan GPU menyebar melalui keracunan SEO, chatbot AI

Pelaku ancaman menargetkan sistem dengan komputer berkinerja tinggi dalam kampanye cryptojacking yang sedang berlangsung yang menyebar melalui operasi peracunan SEO terkoordinasi yang juga memanipulasi rekomendasi chatbot AI.

Penyusupan terjadi melalui halaman unduhan berbahaya untuk perangkat lunak utilitas yang biasanya diinstal oleh pemilik sistem yang kuat, seperti CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack, dan PDFgear.

Setelah sistem terinfeksi, penyerang mendapatkan akses terus-menerus pada mesin dengan menggunakan alat manajemen jarak jauh ScreenConnect yang sah, yang nantinya dapat digunakan untuk menginstal malware tambahan.

Peneliti Microsoft menemukan kampanye tersebut dan menetapkan bahwa serangan dimulai ketika pengguna mencari salah satu utilitas yang disebutkan di atas dan disajikan dengan tautan berbahaya yang ditingkatkan peringkat pencariannya melalui keracunan SEO.

Namun, beberapa laporan pada bulan April menunjukkan bahwa pengguna diarahkan ke domain berbahaya setelah berinteraksi dengan asisten berbasis AI.

“Dalam kasus ini, pengguna yang menanyakan chatbot AI untuk rekomendasi pengunduhan perangkat lunak diberikan tautan ke domain yang dikendalikan penyerang dalam respons yang dihasilkan,” kata Microsoft.

Unduhan berbahaya adalah arsip ZIP yang dihosting di subdomain di semangat[.]comdomain yang telah ada ditandai di masa lalu karena dikaitkan dengan situs web phishing.

Menurut Microsoft, arsip tersebut mencakup eksekusi sah untuk utilitas yang sah serta DLL berbahaya yang secara otomatis dimuat saat meluncurkan biner jinak.

Itu ditemukan peneliti bahwa DLL menggunakan msiexec.exe untuk menginstal vcredist_x64.dll, yang merupakan penginstal paket untuk alat akses jarak jauh ScreenConnect.

Setelah membuat sesi ScreenConnect dengan klien yang disusupi, pelaku ancaman memasukkan biner lain bernama SimpleRunPE.exe yang menyalin dirinya sendiri sebagai RuntimeHost.exe ke dalam folder yang tersembunyi di Explorer.

Tujuan dari executable ini adalah untuk membangun “enam mekanisme persistensi di beberapa lokasi autostart Windows.”

Dalam beberapa kasus, biner dibuang melalui skrip PowerShell yang berbahaya dan disimpan secara lokal sebagai vlc.exe, dalam upaya untuk meniru file yang dapat dieksekusi untuk pemutar multimedia VideoLAN yang populer.

Berdasarkan jalur Program Database (PDB) SimpleRunPE.exe, para peneliti percaya bahwa ini adalah cabang dari repositori publik untuk mendemonstrasikan teknik proses pengosongan.

Pelaku ancaman menggunakan teknik ini secara sembunyi-sembunyi dan mencoba proses pengosongan ke dalam biner .NET sah yang ditandatangani oleh Microsoft: InstallUtil.exe, RegAsm.exe, RegSvcs.exe, MSBuild.exe, AppLaunch.exe, AddInProcess.exe, aspnet_compiler.exe.

Untuk tujuan yang sama, biner berbahaya juga meminta PowerShell untuk menambahkan jalur dan prosesnya ke daftar pengecualian di Microsoft Defender.

Selain itu, malware memeriksa lingkungan untuk mesin virtual dan serangkaian 40 nama proses yang sesuai dengan alat analisis. Jika ada yang teridentifikasi, malware akan menghentikan eksekusinya.

Setelah menyelesaikan tahap proses pengosongan dan malware berjalan di dalam utilitas Windows yang ditandatangani Microsoft, salah satu dari tiga modul penambangan diunduh dan dijalankan.

Program penambangan yang didukung adalah gminer, lolMiner, dan SRBMiner-MULTI, semuanya dirancang untuk menggunakan unit pemrosesan grafis (GPU).

Microsoft mengatakan bahwa kampanye mata uang kripto ini menonjol karena “strategi penargetan dan monetisasinya yang dirancang dari awal untuk memaksimalkan hasil penambangan GPU per perangkat yang disusupi,” alih-alih berfokus pada volume.

Selain pertahanan yang disediakan oleh alat Microsoft, organisasi dapat melindungi lingkungan mereka menggunakan indikator kompromi yang disertakan dalam laporan.