Команди Microsoft Defender Experts і Microsoft Defender Security Research опублікували звіт про активну кампанію криптоджекингу, у якій зловмисники використовують принципово новий вектор доставки — відповіді ІІ-чатботів на запити користувачів щодо завантаження програмного забезпечення. Кампанія цілеспрямовано націлена на системи з високопродуктивними GPU для максимізації прибутку від майнінгу, а окрім фінансової мотивації передбачає встановлення постійного віддаленого доступу через ScreenConnect, що відкриває шлях до крадіжки даних, бокового переміщення мережею та розгортання програм-вимагачів. Microsoft заявила, що виявила й заблокувала активність, пов’язану з цією кампанією.
Еволюція доставки: від SEO-отруєння до ІІ-чатботів
Спочатку кампанія спиралася на класичне отруєння результатів пошуку (SEO poisoning): користувачі, які шукали популярні системні утиліти — CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack і PDFgear, — потрапляли на шкідливі сайти, що імітували сторінки завантаження цих програм. Вибір саме цих утиліт не випадковий: усі вони асоціюються з користувачами, які мають потужне обладнання, що підвищує цінність кожного скомпрометованого пристрою для майнінгу.
Однак у квітні 2026 року Microsoft зафіксувала принципову зміну. Користувачі почали потрапляти на шкідливі домени не через пошукові системи, а через взаємодію з інструментами на базі великих мовних моделей (LLM). За даними Microsoft, «користувачі, які запитували в ІІ-чатботів рекомендації щодо завантаження ПЗ, отримували посилання на контрольовані зловмисниками домени в згенерованих відповідях». Microsoft уточнює, що цей висновок ґрунтується на спостережуваних патернах і корельованих джерелах даних та узгоджується з новими техніками отруєння результатів ІІ-пошуку — розширенням традиційного SEO-отруєння за межі класичних пошукових систем.
Технічний ланцюжок атаки
Інфраструктура кампанії охоплює понад 150 шкідливих доменів. Кожен сайт містить кнопку завантаження, яка завантажує ZIP-архів із піддомену gleeze[.]com, розміщеного на інфраструктурі, пов’язаній із провайдером динамічного DNS Dynu.
DLL sideloading і встановлення ScreenConnect
Завантажений ZIP-архів містить легітимний виконуваний файл і шкідливу бібліотеку autorun.dll, яка підвантажується під час запуску основного бінарника (техніка DLL sideloading). Ця бібліотека встановлює другу шкідливу DLL — vcredist_x64.dll — через msiexec.exe. Файл є запакованим інсталятором ScreenConnect.
Після встановлення клієнт ScreenConnect безперервно намагається зв’язатися з сервером зловмисників за адресою 193.42.11[.]108. Через встановлену сесію доставляється виконуваний файл SimpleRunPE.exe.
Закріплення та ухилення від виявлення
SimpleRunPE.exe виконує комплекс дій для закріплення та маскування:
- створює записи в ключах автозапуску реєстру (Registry Run keys) і заплановані завдання
- налаштовує винятки в Microsoft Defender
- виконує перевірки на наявність інструментів аналізу
- застосовує техніку process hollowing для запуску майнінг-коду під довіреним бінарником, підписаним Microsoft
У низці випадків замість передавання файлів через ScreenConnect використовується PowerShell-скрипт, який завантажує бінарник із віддаленого диска, зберігає його локально під іменем vlc.exe, створює заплановане завдання для запуску, а потім видаляє себе.
Майнінг і самозахист
Бінарний файл, упроваджений через process hollowing, зв’язується з сервером керування, передає детальну інформацію про хост, завантажує відповідний архів із майнером і запускає його. Підтримуються три програми для майнінгу: gminer, lolMiner і SRBMiner-MULTI.
Шкідливе ПЗ активно протидіє виявленню: у разі детектування запущених процесів моніторингу — taskmgr.exe, processhacker.exe, processhacker2.exe, procexp.exe, procexp64.exe, systeminformer.exe — майнер негайно завершує роботу. Крім того, бінарник відновлює артефакти закріплення та переконфіговує винятки Defender у разі їх видалення, забезпечуючи стійку присутність у системі.
Індикатори компрометації
- Домен: gleeze[.]com (піддомени, специфічні для кампанії)
- IP-адреса C2: 193.42.11[.]108 (сервер ScreenConnect)
- Файли: autorun.dll, vcredist_x64.dll, SimpleRunPE.exe
Контекст: серія звітів Microsoft про складні атаки
Публікація цього звіту стала частиною серії досліджень Microsoft за травень 2026 року. 22 травня компанія описала багатоступеневу атаку, у якій невідомий зловмисник скомпрометував мережевий екран F5 BIG-IP, скористався довірчими відносинами для переміщення на внутрішній Linux-хост, а потім атакував уразливий сервер Atlassian Confluence. Під час цього інциденту застосовувалися атаки Kerberos relay і експлуатація CVE-2025-33073, а зловмисник підтримував доступ через SSH із привілейованим обліковим записом без явних механізмів закріплення — що підкреслює ризики, пов’язані з надмірними привілеями.
Ще раніше, 12 травня, Microsoft розкрила інцидент, у якому атакувальники зловжили довірчими відносинами із стороннім ІТ-провайдером і легітимними інструментами керування для організації прихованої кампанії, націленої на довгостроковий доступ і крадіжку облікових даних. Усі три звіти об’єднує спільна тенденція: зловмисники дедалі активніше експлуатують довіру — до пошукових систем, ІІ-інструментів, сторонніх провайдерів і легітимного ПЗ.
Оцінка впливу
Кампанія становить високий рівень загрози з кількох причин. По-перше, цільова аудиторія — власники систем із потужними GPU — охоплює геймерів, фахівців із машинного навчання, відеомонтажерів і 3D-дизайнерів. По-друге, криптоджекинг — лише первинна монетизація: встановлений ScreenConnect забезпечує повний віддалений доступ, який може бути використаний для крадіжки даних, бокового переміщення мережею або розгортання програм-вимагачів. По-третє, використання ІІ-чатботів як вектора доставки розширює поверхню атаки на користувачів, які свідомо уникають неперевірених результатів пошуку, але довіряють відповідям мовних моделей.
Рекомендації із захисту
- Завантаження ПЗ лише з офіційних сайтів: не довіряйте посиланням на завантаження, отриманим від ІІ-чатботів або з результатів пошуку — переходьте на сайт розробника безпосередньо
- Моніторинг ScreenConnect: перевірте наявність несанкціонованих інсталяцій ScreenConnect в інфраструктурі; заблокуйте з’єднання до 193.42.11[.]108 і доменів gleeze[.]com
- Контроль DLL sideloading: налаштуйте політики Windows Defender Application Control (WDAC) або AppLocker для запобігання завантаженню непідписаних DLL із користувацьких директорій
- Аудит винятків Defender: регулярно перевіряйте список винятків Microsoft Defender — шкідливе ПЗ активно додає й відновлює їх
- Моніторинг process hollowing: відстежуйте аномальну поведінку довірених процесів Microsoft, особливо нетипову мережеву активність або високе навантаження на GPU
- Блокування динамічного DNS: розгляньте блокування або посилений моніторинг трафіку до провайдерів динамічного DNS (Dynu та подібних) на периметрі мережі
Ключовий висновок із цієї кампанії — необхідність перегляду моделі довіри до джерел рекомендацій щодо завантаження ПЗ. Організаціям слід негайно перевірити інфраструктуру на наявність індикаторів компрометації (ScreenConnect, звернення до gleeze[.]com і 193.42.11[.]108), запровадити політики завантаження ПЗ виключно з затверджених репозиторіїв і включити ІІ-інструменти до моделі загроз соціальної інженерії нарівні з фішинговими листами та шкідливою рекламою.
