Forskere opdagede en kampagne med GPU-miningmalware, der spreder sig gennem SEO-forgiftning og manipulerede anbefalinger fra AI-chatbots. Angriberne retter sig mod brugere, som søger efter populære PC-værktøjer, der ofte bruges af gamere, udviklere og hardwareentusiaster.

Microsoft advarede om, at operationen kombinerer falske softwaredownloads, manipulerede søgeresultater og AI-assisterede spredningsteknikker for at inficere systemer med cryptojacking-malware. Kampagnen viser, hvordan trusselsaktører fortsætter med at tilpasse social engineering-metoder til moderne browsingvaner og AI-drevne søgeværktøjer.

Angribere retter sig mod brugere, der søger populær software

Ifølge Microsoft fokuserer kampagnen på brugere, som sandsynligvis ejer kraftige computere med højtydende GPU’er. Disse systemer genererer større kryptovalutagevinster for angriberne, når de først er kompromitteret.

Forskere oplyste, at de skadelige hjemmesider udgiver sig for at være legitime downloadsider til populære programmer, blandt andet:

  • CrystalDiskInfo
  • HWMonitor
  • Display Driver Uninstaller
  • FurMark
  • K-Lite Codec Pack
  • PDFgear

Brugere, der søger efter disse programmer, kan støde på falske hjemmesider, som bliver fremhævet gennem SEO-forgiftningskampagner. Når brugere downloader og kører installationsfilerne, installerer malwaren yderligere skadelige komponenter i baggrunden.

Forskere advarede om, at de falske hjemmesider efterligner legitime softwareportaler meget overbevisende, hvilket får downloadene til at virke troværdige ved første øjekast.

AI-chatbots hjalp med at sprede malwaren

Microsofts forskere oplyste, at nogle ofre fandt de skadelige hjemmesider gennem anbefalinger fra AI-chatbots. Brugere, der spurgte AI-assistenter, hvor de kunne downloade software, modtog angiveligt links til domæner kontrolleret af angriberne.

Efterforskere mener, at angriberne manipulerede synlighed og søgerelevans online for at påvirke AI-genererede svar. Kampagnen viser, hvordan traditionelle SEO-forgiftningsteknikker nu spreder sig til AI-assisterede browsingmiljøer.

Forskere advarede også om, at mange brugere stoler for meget på AI-genererede anbefalinger uden selv at kontrollere downloadkilder.

Operationen understreger samtidig de voksende sikkerhedsrisici ved AI-drevne søge- og anbefalingssystemer.

Malwaren bruger legitime værktøjer til at bevare adgang

Forskere oplyste, at de skadelige downloads normalt leveres som ZIP-arkiver, der indeholder legitime softwarefiler sammen med skadelige DLL-komponenter. Når brugere starter det legitime program, indlæser Windows automatisk den skadelige DLL-fil og starter infektionskæden.

Microsoft forklarede, at malwaren installerer det legitime fjernadministrationsværktøj ScreenConnect for at opretholde permanent adgang til inficerede systemer. Angriberne kan senere bruge adgangen til at installere mere malware eller udføre yderligere skadelige aktiviteter.

Malwaren bruger også flere teknikker til at undgå opdagelse, blandt andet:

  • Process hollowing
  • PowerShell-eksekvering
  • Ændringer af Defender-undtagelser
  • Registrering af virtuelle maskiner
  • Kontrol af sikkerhedsværktøjer

Forskere oplyste, at malwaren injicerer skadelig kode i legitime .NET-processer signeret af Microsoft for at reducere risikoen for opdagelse fra sikkerhedssoftware.

Cryptojacking-kampagner fortsætter med at udvikle sig

Forskere advarede om, at GPU-miningmalware fortsat er attraktivt for cyberkriminelle grupper, fordi inficerede systemer kan generere kryptovalutaindtægter i lange perioder uden at vække mistanke.

I modsætning til ransomware-angreb undgår cryptojacking-operationer ofte forstyrrende adfærd. Angriberne fokuserer i stedet på at forblive skjulte, mens de udnytter GPU-ressourcer i baggrunden.

Ofre kan opleve symptomer som:

  • Langsommere systemydelse
  • Højere GPU-temperaturer
  • Høje køleblæsere
  • Øget strømforbrug
  • Systemustabilitet

Sikkerhedseksperter anbefalede brugere kun at downloade software fra officielle leverandørers hjemmesider. Brugere bør også undgå downloads via annoncer, mistænkelige søgeresultater eller ubekræftede AI-chatbotlinks.

Konklusion

Kampagnen med GPU-miningmalware viser, hvordan angribere kombinerer SEO-forgiftning og manipulation af AI-chatbots for at sprede cryptojacking-malware gennem falske softwaredownloads. Forskere advarede om, at operationen specifikt retter sig mod brugere med højtydende PC’er, som kan generere profitabel kryptovalutamining.

Microsoft oplyste, at brugere bør kontrollere downloadkilder nøje og undgå at stole fuldstændigt på AI-genererede anbefalinger, når de søger efter software online. Kampagnen viser også, hvordan cyberkriminelle fortsætter med at tilpasse traditionelle angrebsmetoder til moderne AI-drevne browsingmiljøer.


0 svar til “GPU-miningmalware spreder sig gennem SEO-forgiftning og AI-chatbots”