Вредоносные сайты с утилитами для ПК начали рекламировать через AI-чатботов: новая кампания скрытого майнинга от Microsoft Defender

information security

Мощный игровой компьютер или рабочая станция с дискретной видеокартой - теперь это не только предмет гордости владельца, но и приоритетная цель для злоумышленников. Специалисты Microsoft Defender обнаружили активную кампанию криптоджекинга, которая сочетает сразу два метода социальной инженерии: традиционное отравление поисковой выдачи и принципиально новый канал распространения - рекомендации от больших языковых моделей. Речь идёт не о случайном заражении миллионов машин ради копеечной прибыли, а о точечной атаке на пользователей с высокопроизводительными GPU, чьи ресурсы можно конвертировать в криптовалюту с максимальной отдачей.

Описание

Кампания маскируется под известные системные утилиты. Среди поддельных сайтов фигурируют страницы, якобы предлагающие CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack и PDFgear. Каждая из этих программ - фаворит компьютерных энтузиастов, людей, которые следят за температурой компонентов, обновляют драйверы и кодековые сборки. Именно эта аудитория с наибольшей вероятностью владеет современным дискретным графическим ускорителем, без которого эффективный майнинг криптовалют на GPU просто невозможен.

На первый взгляд схема выглядит привычной: пользователь вводит запрос в обычном поисковике, видит ссылку, похожую на официальный сайт, переходит на поддельный ресурс. Однако с апреля 2026 года исследователи зафиксировали тревожную эволюцию. Люди начали сообщать, что вредоносные домены всплывали не в результатах поиска, а в ответах AI-чатботов. Пользователь просил нейросеть порекомендовать программу для мониторинга температуры, и чат-бот выдавал ссылку на подконтрольный злоумышленникам сайт. Анализ трафика и метаданных сканирования VirusTotal подтвердил: часть переходов действительно имела реферальный контекст, указывающий на взаимодействие с большими языковыми моделями. Это не системная проблема какого-то конкретного сервиса, но опасный прецедент: социальная инженерия вышла за границы поисковых систем и проникла в диалоги с искусственным интеллектом.

Каждый фиктивный сайт предлагает нажать кнопку "Скачать", после чего загружается ZIP-архив, размещённый на субдомене gleeze.com. Сам домен gleeze.com обслуживается инфраструктурой Dynu - динамическим DNS-провайдером, который злоумышленники давно используют для сокрытия своих серверов. С марта 2026 года эксперты идентифицировали более полутора сотен вредоносных доменов, задействованных в этой кампании.

Внутри архива лежит легитимный исполняемый файл подделываемой утилиты. Рядом с ним находится вредоносная DLL с именем autorun.dll. Когда пользователь запускает программу, Windows загружает эту библиотеку из той же папки - это техника, известная как подмена DLL (DLL sideloading). Она не требует эксплуатации уязвимостей и не вызывает видимых аномалий. Наблюдалось девять различных вариантов autorun.dll. Отчёт Microsoft Defender описывает дальнейшую цепочку: вредоносная DLL через msiexec.exe тихо устанавливает второй DLL-файл, замаскированный под распространяемый пакет Visual C++ (vcredist_x64.dll). На самом деле это инсталлятор ScreenConnect - легитимного коммерческого инструмента удалённого администрирования, широко используемого IT-специалистами. Сама программа ScreenConnect не имеет уязвимостей, но злоумышленники злоупотребляют её штатными функциями для закрепления в системе. После установки клиент ScreenConnect постоянно пытается связаться с атакующим сервером по адресу 193.42.11[.]108.

Получив удалённый доступ, операторы кампании загружают на компьютер бинарный файл SimpleRunPE.exe. Статический анализ вскрыл внутри него отладочный путь, который совпадает с публичным проектом на GitHub, реализующим технику подмены процесса (process hollowing). Microsoft с умеренной уверенностью считает, что злоумышленники форкнули этот открытый код. Бинарный файл копирует себя в скрытую папку с именем D3F4E2A1, даёт себе имя RuntimeHost.exe и выставляет атрибуты "Скрытый" и "Системный", чтобы пользователь не заметил его в проводнике.

Далее начинается многоступенчатая процедура закрепления. Майнер создаёт целых шесть механизмов автозапуска: три запланированных задачи, два ключа в реестре Run и ярлык в папке "Автозагрузка". Каждый раз при старте RuntimeHost.exe проверяет, выполнен ли процесс подмены, и при необходимости повторяет его. Для обхода защиты Windows Defender вредоносная программа через PowerShell добавляет исключения в антивирус по пути и по именам процессов. В список исключений попадают все используемые для подмены легитимные утилиты .NET (InstallUtil.exe, RegAsm.exe, MSBuild.exe и другие), а также сам процесс майнера. Кроме того, майнер проверяет среду: если обнаруживаются признаки виртуальной машины (VMware, VirtualBox) или присутствуют процессы отладчиков и дизассемблеров (IDA, Ghidra, x64dbg), он немедленно завершает работу, чтобы не попасть в руки аналитиков.

Сам процесс подмены выглядит так: выбирается первый из семи доступных легитимных бинарников Microsoft, присутствующих на диске. Этот бинарник запускается в приостановленном состоянии, после чего вредоносный код заменяет его содержимое, используя вызовы WriteProcessMemory и SetThreadContext. В результате майнер исполняется внутри доверенного процесса, подписанного корпорацией Майкрософт, что делает его практически невидимым для поведенческих анализаторов.

После успешной инъекции майнер начинает сбор разведывательных данных о хосте. Он передаёт на управляющий сервер модель процессора и количество ядер, модель и производителя GPU (с классификацией встроенный или дискретный), объём оперативной памяти, загрузку ЦП и GPU, температуру графического чипа, версию Windows, наличие прав администратора, локальный IP-адрес, установленный антивирус, время бездействия пользователя и даже активность GPU при играх или стриминге. Если система занята - майнинг приостанавливается.

Ключевой элемент инфраструктуры - командно-контрольный сервер. Его адрес зашифрован алгоритмом AES-128-CBC и находится внутри бинарного файла. Расшифровка даёт URL wss://minemine.gleeze[.]com:8443/ws. Кроме того, в коде жёстко прописан отпечаток SHA-256 TLS-сертификата, который ожидается на этом сервере. Такая привязка сертификата (certificate pinning) затрудняет перехват трафика. Используя этот отпечаток, эксперты нашли три IP-адреса, принадлежащие тому же сертификату: 93.115[.]10.35, 198.23[.]185.238 и 2.59.132[.]106. Анализ этих адресов выявил ещё одну связанную кампанию с доменами giize[.]com, где использовались похожие цепочки заражения через поддельные сайты.

Важно понимать, что этот инцидент выходит за рамки простого майнинга. ScreenConnect предоставляет злоумышленникам постоянный удалённый доступ к системе. При необходимости они могут использовать его для кражи учётных данных, бокового перемещения по сети или доставки программ-вымогателей. Кампания демонстрирует, как современные угрозы комбинируют AI-доставку, подделку брендов и легитимные инструменты удалённого администрирования, адаптируясь к привычкам пользователей. Microsoft Defender блокирует эту активность, но компания рекомендует организациям включить облачную защиту, запустить EDR в режиме блокировки и активировать правила сокращения поверхности атаки для снижения риска. Пользователям стоит скачивать системные утилиты только с официальных сайтов разработчиков и критически относиться к ссылкам, которые предлагают AI-чатботы.

Индикаторы компрометации

IPv4

  • 193.42.11.108

Domains

  • direct-download.gleeze.com
  • directdownload.icu
  • direct-downloads.giize.com
  • free-download.giize.com
  • start-download.gleeze.com

WebSocket Security

  • wss://minemine.gleeze.com:8443/ws

SHA256

  • 062bb28765fbaa11f8cc341fa16e2c7f942a122d929cb41f4a0f755b4429f246
  • 16562974deec80e41ef57a71a6de8c03ceb393005fb1432f8d9d82c61294ef8c
  • 1b2555b09ac62164638f47c8272beb6b0f97186e37d3a54cb84c723ff7a2eee5
  • 2ee93ccbcd49ed94c65dcf52e7dcb8f0fa0a443ca24c0e0c7f79152efba657b7
  • 69077fcf940fc5852fb32beed15636756ebc04ac971b7ed71d36251e7ea70a20
  • 7035c2abeb617e828dfda1b119b8544fa9ae15a1d263d18bc5506acaf381f496
  • 9ff07c9fafa9c03fdf69e4abf6806aa7c938b5480e7e258f227db0719ecd6386
  • a460d00ef93c8ce70d32e48e55781af66a53328fc2dde45519be196c265de074
  • c7425fbe6c3a4937934215c54027d4b67202d12ab490682fae03498870d66d06
  • cf3f8160eb5a5580e0c35054847e3ac4d01e9fe74fab8bc12bf6e8a40bf696b2
  • db2d33c4e6e4a5c2263b56e8303c343305a94dde1fc2968304ba260acbbd9f9f
  • e021662a652ba95c8778b991056696ab3c9b0f60d5e23b1e6cf73c3847db6610

Комментарии: 0