⚡ Não perca: notícia importante no ar! ⚡
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Microsoft alertou sobre uma campanha ativa de cryptojacking que faz uso de interações de chatbot de inteligência artificial (IA) como um mecanismo para revelar sites de download maliciosos.
“Essa técnica emergente de entrega estende a engenharia social além dos resultados de pesquisa convencionais e aumenta a visibilidade das recomendações de software malicioso”, disseram os especialistas do Microsoft Defender e a equipe de pesquisa de segurança do Microsoft Defender em um relatório publicado na terça-feira.
A atividade, segundo a gigante da tecnologia, representa utilitários de sistema legítimos como CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack e PDFgear, provavelmente em uma tentativa de atingir usuários que possuem GPUs de alto desempenho. A ideia é focar em comprometer sistemas com maior valor de mineração do que infectar indiscriminadamente um grande número de máquinas, acrescentou.
Os objetivos da campanha não são meramente motivados financeiramente. Descobriu-se também que os agentes da ameaça estabelecem acesso remoto persistente a hosts comprometidos por meio de implantações do ScreenConnect, que poderiam então ser aproveitados para atividades subsequentes, como roubo de dados, movimentação lateral ou ransomware.
A cadeia de ataque é mais deliberada do que outros esforços típicos de mineração de criptomoedas, optando estrategicamente por endpoints que ajudam a maximizar o rendimento de mineração de GPU por dispositivo comprometido. A fabricante do Windows disse que detectou e bloqueou atividades associadas à campanha.
Tudo começa quando os usuários procuram utilitários de sistema confiáveis e software de monitoramento de hardware em mecanismos de pesquisa, que revelam sites maliciosos que foram manipulados por meio de técnicas como envenenamento de otimização de mecanismo de pesquisa (SEO). As iterações subsequentes observadas em abril de 2026 indicam que os usuários estão sendo direcionados para esses sites não por meio de resultados de mecanismos de pesquisa, mas por meio de interações com ferramentas baseadas em modelo de linguagem grande (LLM).
“Nesses casos, os usuários que consultavam chatbots de IA para recomendações de download de software receberam links para domínios controlados por invasores nas respostas geradas”, disse a Microsoft. “Embora esse comportamento seja baseado em padrões observados e fontes de dados correlacionadas, é consistente com técnicas emergentes de envenenamento de resultados de pesquisa de IA, representando uma extensão do envenenamento de SEO tradicional além dos mecanismos de pesquisa convencionais”.
Cada um desses sites contém um botão de download proeminente que recupera um arquivo ZIP de um subdomínio específico da campanha de gleeze[.]com, que é hospedado por uma infraestrutura associada ao Dynu, um provedor de DNS dinâmico frequentemente usado por agentes de ameaças. Mais de 150 domínios maliciosos foram identificados servindo as ferramentas maliciosas.
O arquivo ZIP baixado contém um executável legítimo junto com uma DLL nociva ("autorun.dll") que é carregada quando o binário é iniciado pelo usuário. A DLL foi projetada para instalar uma segunda DLL maliciosa chamada “vcredist_x64.dll” usando “msiexec.exe”. O arquivo é um instalador empacotado para o software ScreenConnect.
Depois que o ScreenConnect é instalado, o cliente tenta continuamente estabelecer contato com um servidor controlado pelo invasor localizado em "193.42.11[.]108." A sessão do ScreenConnect serve então como um canal para um executável chamado “SimpleRunPE.exe”.
O binário é responsável por estabelecer persistência no host usando chaves de execução do registro e tarefas agendadas, configurar exclusões do Microsoft Defender, executar verificações anti-análise e empregar esvaziamento de processo para iniciar o código de mineração em um binário confiável assinado pela Microsoft.
Em compromissos selecionados, em vez de confiar na funcionalidade de transferência de arquivos do ScreenConnect para descartar o binário, um script do PowerShell é usado para buscar o binário de uma unidade remota, armazená-lo localmente como "vlc.exe" para passar despercebido, criar uma tarefa agendada para iniciá-lo e, em seguida, excluí-lo.
O binário vazio, por sua vez, se comunica com o servidor do invasor, transmite extensas informações do host, baixa o arquivo minerador apropriado em tempo de execução e o executa. Três programas mineradores são suportados pelo malware: gminer, lolMiner e SRBMiner-MULTI.
Além disso, o binário recria os artefatos de persistência para garantir a presença contínua e reconfigura as exclusões do Defender caso sejam removidas. Ele também fica atento aos processos em execução e encerra imediatamente o minerador se algum dos seguintes processos for detectado -
taskmgr.exe (Gerenciador de Tarefas do Windows)
processhacker.exe, processhacker2.exe (hacker de processo)
procexp.exe, procexp64.exe (Explorador de processos)
systeminformer.exe (Informador do Sistema)
“Esta combinação de entrega assistida por IA, personificação de software e acesso persistente destaca como os agentes de ameaças estão adaptando estratégias de engenharia social e monetização ao comportamento moderno do usuário”, disse a Microsoft.
A divulgação ocorre dias depois que a Microsoft detalhou como uma ameaça desconhecida age
“Essa técnica emergente de entrega estende a engenharia social além dos resultados de pesquisa convencionais e aumenta a visibilidade das recomendações de software malicioso”, disseram os especialistas do Microsoft Defender e a equipe de pesquisa de segurança do Microsoft Defender em um relatório publicado na terça-feira.
A atividade, segundo a gigante da tecnologia, representa utilitários de sistema legítimos como CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack e PDFgear, provavelmente em uma tentativa de atingir usuários que possuem GPUs de alto desempenho. A ideia é focar em comprometer sistemas com maior valor de mineração do que infectar indiscriminadamente um grande número de máquinas, acrescentou.
Os objetivos da campanha não são meramente motivados financeiramente. Descobriu-se também que os agentes da ameaça estabelecem acesso remoto persistente a hosts comprometidos por meio de implantações do ScreenConnect, que poderiam então ser aproveitados para atividades subsequentes, como roubo de dados, movimentação lateral ou ransomware.
A cadeia de ataque é mais deliberada do que outros esforços típicos de mineração de criptomoedas, optando estrategicamente por endpoints que ajudam a maximizar o rendimento de mineração de GPU por dispositivo comprometido. A fabricante do Windows disse que detectou e bloqueou atividades associadas à campanha.
Tudo começa quando os usuários procuram utilitários de sistema confiáveis e software de monitoramento de hardware em mecanismos de pesquisa, que revelam sites maliciosos que foram manipulados por meio de técnicas como envenenamento de otimização de mecanismo de pesquisa (SEO). As iterações subsequentes observadas em abril de 2026 indicam que os usuários estão sendo direcionados para esses sites não por meio de resultados de mecanismos de pesquisa, mas por meio de interações com ferramentas baseadas em modelo de linguagem grande (LLM).
“Nesses casos, os usuários que consultavam chatbots de IA para recomendações de download de software receberam links para domínios controlados por invasores nas respostas geradas”, disse a Microsoft. “Embora esse comportamento seja baseado em padrões observados e fontes de dados correlacionadas, é consistente com técnicas emergentes de envenenamento de resultados de pesquisa de IA, representando uma extensão do envenenamento de SEO tradicional além dos mecanismos de pesquisa convencionais”.
Cada um desses sites contém um botão de download proeminente que recupera um arquivo ZIP de um subdomínio específico da campanha de gleeze[.]com, que é hospedado por uma infraestrutura associada ao Dynu, um provedor de DNS dinâmico frequentemente usado por agentes de ameaças. Mais de 150 domínios maliciosos foram identificados servindo as ferramentas maliciosas.
O arquivo ZIP baixado contém um executável legítimo junto com uma DLL nociva ("autorun.dll") que é carregada quando o binário é iniciado pelo usuário. A DLL foi projetada para instalar uma segunda DLL maliciosa chamada “vcredist_x64.dll” usando “msiexec.exe”. O arquivo é um instalador empacotado para o software ScreenConnect.
Depois que o ScreenConnect é instalado, o cliente tenta continuamente estabelecer contato com um servidor controlado pelo invasor localizado em "193.42.11[.]108." A sessão do ScreenConnect serve então como um canal para um executável chamado “SimpleRunPE.exe”.
O binário é responsável por estabelecer persistência no host usando chaves de execução do registro e tarefas agendadas, configurar exclusões do Microsoft Defender, executar verificações anti-análise e empregar esvaziamento de processo para iniciar o código de mineração em um binário confiável assinado pela Microsoft.
Em compromissos selecionados, em vez de confiar na funcionalidade de transferência de arquivos do ScreenConnect para descartar o binário, um script do PowerShell é usado para buscar o binário de uma unidade remota, armazená-lo localmente como "vlc.exe" para passar despercebido, criar uma tarefa agendada para iniciá-lo e, em seguida, excluí-lo.
O binário vazio, por sua vez, se comunica com o servidor do invasor, transmite extensas informações do host, baixa o arquivo minerador apropriado em tempo de execução e o executa. Três programas mineradores são suportados pelo malware: gminer, lolMiner e SRBMiner-MULTI.
Além disso, o binário recria os artefatos de persistência para garantir a presença contínua e reconfigura as exclusões do Defender caso sejam removidas. Ele também fica atento aos processos em execução e encerra imediatamente o minerador se algum dos seguintes processos for detectado -
taskmgr.exe (Gerenciador de Tarefas do Windows)
processhacker.exe, processhacker2.exe (hacker de processo)
procexp.exe, procexp64.exe (Explorador de processos)
systeminformer.exe (Informador do Sistema)
“Esta combinação de entrega assistida por IA, personificação de software e acesso persistente destaca como os agentes de ameaças estão adaptando estratégias de engenharia social e monetização ao comportamento moderno do usuário”, disse a Microsoft.
A divulgação ocorre dias depois que a Microsoft detalhou como uma ameaça desconhecida age
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #recomendações #do #ai #chatbot #redirecionam #usuários #para #sites #de #malware #de #criptojacking
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário