Microsoft: вредоносные «утилиты» продвигаются через выдачу ИИ-чатботов

Группа Microsoft Defender Experts описала активную кампанию, в которой ссылки на поддельные сайты с системными утилитами появляются не только в отравленной поисковой выдаче, но и в ответах ИИ-чатботов. Конечная цель — установить на машины с мощными GPU удалённый доступ через ScreenConnect и криптомайнер.

Подразделение Microsoft Defender Experts сообщило об активной криптоджекинговой кампании, в которой вредоносные сайты для скачивания попадают к пользователям не только через классическое SEO-отравление поисковой выдачи, но и через взаимодействие с ИИ-чатботами. По оценке Microsoft, такая схема доставки расширяет привычный социальный инжиниринг за пределы традиционных поисковых результатов и повышает заметность рекомендаций вредоносного ПО.

Атакующие маскируются под популярные системные утилиты — CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack и PDFgear. Такой набор приманок ориентирован на владельцев производительных видеокарт: судя по описанию, оператор кампании не пытается максимизировать число заражений, а целенаправленно отбирает машины с высокой майнинговой ценностью.

Помимо скрытого майнинга криптовалюты, кампания закрепляется в системе через злоупотребление легитимным средством удалённого администрирования ConnectWise ScreenConnect. Установленные сессии, по данным Microsoft, потенциально могут использоваться для кражи данных, бокового перемещения по сети или последующего развёртывания программ-вымогателей. После установления сеанса ScreenConnect атакующий доставляет бинарник SimpleRunPE.exe; вредоносный модуль также отслеживает запуск средств мониторинга процессов и загрузки GPU, чтобы приостанавливать майнер и снижать риск обнаружения.

Подробное описание цепочки атаки, индикаторы компрометации и рекомендации опубликованы в блоге Microsoft Security.