Криптоджекинг нового поколения: AI-чат-боты и поддельные утилиты для майнинга на мощных GPU

Специалисты Microsoft Defender обнаружили новую кампанию криптоджекинга, которая кардинально меняет правила игры в мире киберугроз. Злоумышленники перестали полагаться на массовость и случайные заражения. Вместо этого они создали изощрённую схему, которая нацелена на конкретную аудиторию - владельцев дорогих графических ускорителей. Удивительно, но для доставки вредоносных ссылок преступники начали использовать не только поисковые системы, но и ответы AI-чат-ботов.

Описание

Давно известно: злоумышленники отравляют результаты поисковой выдачи, чтобы заманивать пользователей на поддельные сайты. Такая техника называется SEO poisoning, то есть манипуляция поисковыми алгоритмами для продвижения ссылок на опасные ресурсы. Однако теперь к этому добавился принципиально новый вектор - взаимодействие с большими языковыми моделями. В апреле 2026 года аналитики зафиксировали случаи, когда пользователи, обращаясь к AI-чат-ботам за рекомендациями по скачиванию программ, получали в ответ ссылки на домены, контролируемые злоумышленниками. Таким образом, доверенный интерфейс ИИ-помощника превращается в инструмент распространения вредоносного контента.

Кампания маскируется под популярные системные утилиты: CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack и PDFgear. Все эти инструменты хорошо знакомы энтузиастам, которые собирают и настраивают мощные компьютеры. Именно они, по логике киберпреступников, с наибольшей вероятностью владеют дорогими дискретными GPU - тем самым оборудованием, которое делает майнинг криптовалют экономически выгодным.

Посмотрим на техническую цепочку заражения. Всё начинается на поддельных сайтах. Каждый такой ресурс предлагает скачать якобы легитимную программу. На самом деле архив ZIP содержит настоящий исполняемый файл утилиты, но рядом с ним подложена вредоносная DLL с именем autorun.dll. Когда пользователь запускает легитимный софт, тот загружает эту библиотеку через технику, называемую DLL sideloading, то есть метод подгрузки вредоносной DLL из той же папки, где находится легитимная программа. Этот приём не требует никаких уязвимостей и не выдаёт себя пользователю никаким видимым аномалиям. Анализ выявил девять различных вариантов этой вредоносной DLL.

Дальше вредонос запускает второй этап. С помощью системной утилиты msiexec.exe происходит тихая установка ещё одной библиотеки vcredist_x64.dll, которая маскируется под компонент Visual C++. На самом деле это упакованный установщик ScreenConnect. Речь идёт о легитимном коммерческом инструменте для удалённого администрирования, известном также как ConnectWise Control. Программа как таковая не является опасной, но злоумышленники злоупотребляют её возможностями. Получив доступ к ScreenConnect, атакующие получают постоянный удалённый доступ к машине жертвы. Клиент ScreenConnect пытается соединиться с сервером злоумышленников по адресу 193.42.11[.]108.

После установки сессии ScreenConnect преступники загружают на компьютер жертвы бинарный файл SimpleRunPE.exe. Этот файл примечателен тем, что содержит в себе так называемый PDB-путь, который указывает на публичный репозиторий GitHub с проектом RunPE Process Hollowing. Процесс Hollowing - это техника замены кода легитимного процесса вредоносным кодом. В данном случае злоумышленники, вероятно, взяли за основу готовый код с открытыми исходниками.

Полученный бинарник копирует себя в скрытую папку с именем D3F4E2A1. Файл получает название RuntimeHost.exe и прячется от глаз пользователя с помощью атрибутов "Скрытый" и "Системный". Для закрепления в системе майнер создаёт целых шесть механизмов автозапуска: три запланированных задачи, два ключа реестра и один ярлык в папке автозагрузки. Каждый раз при запуске RuntimeHost.exe проверяет, выполнен ли уже процесс Hollowing, и если нет, запускает его снова. Это гарантирует, что даже если один из механизмов удалят, система восстановится.

Теперь о том, как майнер обходит защиту. После успешного выполнения Hollowing вредонос запускает свой код под видом легитимной Microsoft-подписанной утилиты из .NET Framework. Выбирается первая доступная из списка: InstallUtil.exe, RegAsm.exe, RegSvcs.exe, MSBuild.exe, AppLaunch.exe, AddInProcess.exe или aspnet_compiler.exe. Для этого майнер создаёт процесс в приостановленном состоянии, подменяет его память и запускает уже вредоносный код. При этом он добавляет исключения в Microsoft Defender для всех этих легитимных программ, а также для своих файлов и других майнеров (lolMiner.exe, SRBMiner-MULTI.exe, gminer.exe).

Прежде чем начать майнинг, вредонос проверяет, не запущен ли он в среде анализа. Он ищет признаки виртуальных машин VMware и VirtualBox, а также наличие инструментов для реверс-инжиниринга: dnSpy, x64dbg, IDA, Ghidra, ProcMon, Wireshark, Fiddler и других. Если обнаруживается хотя бы один из них, процесс немедленно завершается.

Командный сервер, с которым связывается майнер, зашифрован алгоритмом AES-128-CBC. Адрес для соединения - wss[:]//minemine.gleeze[.]com:8443/ws. Кроме того, в бинарнике жёстко прописан отпечаток TLS-сертификата для проверки подлинности сервера. При подключении вредонос отправляет подробную информацию о системе: модель и количество ядер процессора, модель GPU, объём оперативной памяти, загрузку CPU и GPU, температуру видеокарты, версию Windows, сведения о запущенном антивирусе, текущий IP-адрес. Также он определяет, не играет ли пользователь в игры или не занимается ли стримингом - в этом случае майнинг приостанавливается, чтобы не вызвать перегрузку и не выдать себя.

Ключевая особенность кампании в том, что майнер не хранит в себе код для майнинга. Он скачивает и запускает один из трёх известных майнеров (gminer, lolMiner, SRBMiner-MULTI) непосредственно с сервера в момент активации. Это позволяет злоумышленникам динамически менять инструменты в зависимости от текущих рыночных условий.

Специалисты Microsoft Defender на основе анализа жёстко зашитого сертификата выявили три IP-адреса, входящие в инфраструктуру управления: 93.115[.]10.35, 198.23[.]185.238 и 2.59.132[.]106. Используя эти данные, исследователи обнаружили дополнительные кампании, связанные с доменами direct-download[.]giize[.]com и free-download[.]giize[.]com. Всего с марта 2026 года выявлено более 150 вредоносных доменов, используемых в рамках этой атаки. Отчёт Microsoft предупреждает, что помимо майнинга криптовалют ScreenConnect даёт злоумышленникам возможность красть данные, перемещаться по сети и даже устанавливать программы-вымогатели. Таким образом, кампания несёт не прямой финансовый ущерб от майнинга, а долгосрочную угрозу.

Для защиты компания Microsoft рекомендует включить облачную защиту и правила сокращения поверхности атаки в Microsoft Defender, а также использовать защиту сети. Пользователям стоит с осторожностью относиться к ссылкам на скачивание, полученным в ответах AI-чат-ботов, и использовать браузеры с поддержкой SmartScreen. Данный случай - яркий сигнал того, что угрозы адаптируются к новому поведению пользователей, и защита должна идти в ногу со временем.