Команды Microsoft Defender Experts и Microsoft Defender Security Research опубликовали отчёт об активной кампании криптоджекинга, в которой злоумышленники используют принципиально новый вектор доставки — ответы ИИ-чатботов на запросы пользователей о загрузке программного обеспечения. Кампания целенаправленно нацелена на системы с высокопроизводительными GPU для максимизации прибыли от майнинга, а помимо финансовой мотивации предусматривает установку постоянного удалённого доступа через ScreenConnect, что открывает путь к краже данных, горизонтальному перемещению и развёртыванию программ-вымогателей. Microsoft заявила, что обнаружила и заблокировала активность, связанную с этой кампанией.
Эволюция доставки: от SEO-отравления к ИИ-чатботам
Изначально кампания опиралась на классическое отравление поисковой выдачи (SEO poisoning): пользователи, ищущие популярные системные утилиты — CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack и PDFgear — попадали на вредоносные сайты, имитирующие страницы загрузки этих программ. Выбор именно этих утилит не случаен: все они ассоциируются с пользователями, владеющими мощным оборудованием, что повышает ценность каждого скомпрометированного устройства для майнинга.
Однако в апреле 2026 года Microsoft зафиксировала качественный сдвиг. Пользователи стали попадать на вредоносные домены не через поисковые системы, а через взаимодействие с инструментами на базе больших языковых моделей (LLM). По данным Microsoft, «пользователи, запрашивающие у ИИ-чатботов рекомендации по загрузке ПО, получали ссылки на контролируемые злоумышленниками домены в сгенерированных ответах». Microsoft уточняет, что этот вывод основан на наблюдаемых паттернах и коррелированных источниках данных и согласуется с формирующимися техниками отравления результатов ИИ-поиска — расширением традиционного SEO-отравления за пределы классических поисковых систем.
Техническая цепочка атаки
Инфраструктура кампании включает более 150 вредоносных доменов. Каждый сайт содержит кнопку загрузки, которая извлекает ZIP-архив с поддомена gleeze[.]com, размещённого на инфраструктуре, связанной с провайдером динамического DNS Dynu.
DLL sideloading и установка ScreenConnect
Загруженный ZIP-архив содержит легитимный исполняемый файл и вредоносную библиотеку autorun.dll, которая подгружается при запуске основного бинарника (техника DLL sideloading). Эта библиотека устанавливает вторую вредоносную DLL — vcredist_x64.dll — через msiexec.exe. Файл представляет собой упакованный установщик ScreenConnect.
После установки клиент ScreenConnect непрерывно пытается связаться с сервером злоумышленников по адресу 193.42.11[.]108. Через установленную сессию доставляется исполняемый файл SimpleRunPE.exe.
Закрепление и уклонение от обнаружения
SimpleRunPE.exe выполняет комплекс действий по закреплению и маскировке:
- Создаёт записи в ключах автозагрузки реестра (Registry Run keys) и запланированные задачи
- Настраивает исключения в Microsoft Defender
- Выполняет проверки на наличие средств анализа
- Применяет технику process hollowing для запуска майнинг-кода под доверенным бинарником, подписанным Microsoft
В ряде случаев вместо передачи файлов через ScreenConnect используется PowerShell-скрипт, который загружает бинарник с удалённого диска, сохраняет его локально под именем vlc.exe, создаёт запланированную задачу для запуска и затем удаляет себя.
Майнинг и самозащита
Внедрённый через process hollowing бинарник связывается с сервером управления, передаёт подробную информацию о хосте, загружает подходящий архив с майнером и запускает его. Поддерживаются три программы для майнинга: gminer, lolMiner и SRBMiner-MULTI.
Вредоносное ПО активно противодействует обнаружению: при детектировании запущенных процессов мониторинга — taskmgr.exe, processhacker.exe, processhacker2.exe, procexp.exe, procexp64.exe, systeminformer.exe — майнер немедленно завершается. Кроме того, бинарник пересоздаёт артефакты закрепления и переконфигурирует исключения Defender в случае их удаления, обеспечивая устойчивое присутствие в системе.
Индикаторы компрометации
- Домен: gleeze[.]com (поддомены, специфичные для кампании)
- IP-адрес C2: 193.42.11[.]108 (сервер ScreenConnect)
- Файлы: autorun.dll, vcredist_x64.dll, SimpleRunPE.exe
Контекст: серия отчётов Microsoft о сложных атаках
Публикация этого отчёта стала частью серии исследований Microsoft за май 2026 года. 22 мая компания описала многоэтапную атаку, в которой неизвестный злоумышленник скомпрометировал межсетевой экран F5 BIG-IP, использовал доверительные отношения для перемещения на внутренний Linux-хост, а затем атаковал уязвимый сервер Atlassian Confluence. В ходе этого инцидента применялись атаки Kerberos relay и эксплуатация CVE-2025-33073, а злоумышленник поддерживал доступ через SSH с привилегированной учётной записью без явных механизмов закрепления — что подчёркивает риски, связанные с избыточными привилегиями.
Ещё ранее, 12 мая, Microsoft раскрыла инцидент, в котором атакующие злоупотребили доверительными отношениями с сторонним ИТ-провайдером и легитимными инструментами управления для организации скрытой кампании, нацеленной на долгосрочный доступ и кражу учётных данных. Все три отчёта объединяет общая тенденция: злоумышленники всё активнее эксплуатируют доверие — к поисковым системам, ИИ-инструментам, сторонним провайдерам и легитимному ПО.
Оценка воздействия
Кампания представляет высокий уровень угрозы по нескольким причинам. Во-первых, целевая аудитория — владельцы систем с мощными GPU — включает геймеров, специалистов по машинному обучению, видеомонтажёров и 3D-дизайнеров. Во-вторых, криптоджекинг — лишь первичная монетизация: установленный ScreenConnect обеспечивает полный удалённый доступ, который может быть использован для кражи данных, горизонтального перемещения по сети или развёртывания программ-вымогателей. В-третьих, использование ИИ-чатботов как вектора доставки расширяет поверхность атаки на пользователей, которые сознательно избегают непроверенных поисковых результатов, но доверяют ответам языковых моделей.
Рекомендации по защите
- Загрузка ПО только с официальных сайтов: не доверяйте ссылкам на скачивание, полученным от ИИ-чатботов или из поисковой выдачи — переходите на сайт разработчика напрямую
- Мониторинг ScreenConnect: проверьте наличие несанкционированных установок ScreenConnect в инфраструктуре; заблокируйте соединения к 193.42.11[.]108 и доменам gleeze[.]com
- Контроль DLL sideloading: настройте политики Windows Defender Application Control (WDAC) или AppLocker для предотвращения загрузки неподписанных DLL из пользовательских директорий
- Аудит исключений Defender: регулярно проверяйте список исключений Microsoft Defender — вредоносное ПО активно добавляет и восстанавливает их
- Мониторинг process hollowing: отслеживайте аномальное поведение доверенных процессов Microsoft, особенно нехарактерную сетевую активность или высокую нагрузку на GPU
- Блокировка динамического DNS: рассмотрите блокировку или усиленный мониторинг трафика к провайдерам динамического DNS (Dynu и аналогичным) на периметре сети
Ключевой вывод из этой кампании — необходимость пересмотра модели доверия к источникам рекомендаций по загрузке ПО. Организациям следует немедленно проверить инфраструктуру на наличие индикаторов компрометации (ScreenConnect, обращения к gleeze[.]com и 193.42.11[.]108), внедрить политики загрузки ПО исключительно из утверждённых репозиториев и включить ИИ-инструменты в модель угроз социальной инженерии наравне с фишинговыми письмами и вредоносной рекламой.
