Microsoft предупреждает: майнинг-вирус маскируется под утилиты для ПК и распространяется через ИИ-чат-ботов

Microsoft предупреждает о кампании по скрытому майнингу криптовалют, которая использует отравление поисковой выдачи (SEO poisoning) и, в некоторых случаях, рекомендации от ИИ-чат-ботов для распространения вредоносного ПО. Злоумышленники маскируют GPU-майнеры под популярные утилиты для ПК.

Согласно отчету Microsoft Defender Experts, кампания нацелена на владельцев мощных видеокарт: геймеров, энтузиастов, пользователей ИИ и оверклокеров. Вредонос выдает себя за такие программы, как CrystalDiskInfo, HWMonitor, DDU, FurMark, K-Lite Codec Pack и PDFgear. Жертвы, ищущие это ПО через поисковики или по рекомендациям ИИ-чат-ботов, перенаправляются на подконтрольные злоумышленникам сайты с вредоносными ZIP-архивами.

После установки вредонос использует легитимный инструмент удаленного доступа ScreenConnect для скрытого запуска майнеров lolMiner, gminer и SRBMiner-MULTI. Атака применяет продвинутые методы скрытности: DLL-подгрузку, шесть механизмов сохранения в системе, исключения в Microsoft Defender и подмену процессов (process hollowing) для внедрения кода майнинга в доверенные утилиты .NET.

Особую обеспокоенность вызывает использование ИИ-чат-ботов. Microsoft отмечает, что некоторые вредоносные домены могли появляться в ответах больших языковых моделей (LLM), когда пользователи просили порекомендовать софт. Компания подчеркивает, что это не системная проблема какого-то конкретного сервиса, но указывает на появление новых методов атак.

Кампания активна как минимум с марта 2026 года и использует более 150 вредоносных доменов. Для обхода обнаружения майнер мониторит загрузку GPU, простаивает во время игр или стриминга, а также проверяет систему на наличие инструментов анализа (Wireshark, ProcMon, IDA и др.), самоуничтожаясь при их обнаружении.