Forscher entdeckten eine Kampagne mit GPU-Mining-Malware, die sich über SEO-Poisoning und manipulierte Empfehlungen von KI-Chatbots verbreitet. Die Angreifer zielen auf Nutzer ab, die nach beliebten PC-Tools suchen, die häufig von Gamern, Entwicklern und Hardware-Enthusiasten verwendet werden.

Microsoft warnte davor, dass die Operation gefälschte Software-Downloads, manipulierte Suchergebnisse und KI-gestützte Verbreitungstechniken kombiniert, um Systeme mit Cryptojacking-Malware zu infizieren. Die Kampagne zeigt, wie Bedrohungsakteure ihre Social-Engineering-Methoden weiterhin an moderne Surfgewohnheiten und KI-gestützte Suchwerkzeuge anpassen.

Angreifer zielen auf Nutzer ab, die nach beliebter Software suchen

Laut Microsoft konzentriert sich die Kampagne auf Nutzer, die wahrscheinlich leistungsstarke Systeme mit starken GPUs besitzen. Solche Systeme ermöglichen den Angreifern höhere Gewinne durch Kryptowährungs-Mining, sobald sie kompromittiert wurden.

Forscher erklärten, dass die schädlichen Webseiten legitime Downloadseiten bekannter Programme imitieren, darunter:

  • CrystalDiskInfo
  • HWMonitor
  • Display Driver Uninstaller
  • FurMark
  • K-Lite Codec Pack
  • PDFgear

Nutzer, die nach diesen Programmen suchen, können auf gefälschte Webseiten stoßen, die durch SEO-Poisoning-Kampagnen in Suchergebnissen nach oben gebracht wurden. Sobald Nutzer die Installationsdateien herunterladen und ausführen, installiert die Malware unbemerkt weitere Schadsoftware im Hintergrund.

Forscher warnten, dass die gefälschten Webseiten legitime Softwareportale sehr überzeugend nachahmen, wodurch die Downloads auf den ersten Blick vertrauenswürdig wirken.

KI-Chatbots halfen bei der Verbreitung der Malware

Microsofts Forscher erklärten, dass einige Opfer die schädlichen Webseiten über Empfehlungen von KI-Chatbots fanden. Nutzer, die KI-Assistenten fragten, wo sie Software herunterladen könnten, erhielten Berichten zufolge Links zu Domains unter Kontrolle der Angreifer.

Ermittler gehen davon aus, dass die Angreifer Online-Sichtbarkeit und Suchrelevanz manipulierten, um KI-generierte Antworten zu beeinflussen. Die Kampagne zeigt, wie klassische SEO-Poisoning-Techniken inzwischen auch KI-gestützte Surf-Umgebungen erreichen.

Forscher warnten außerdem, dass viele Nutzer KI-generierten Empfehlungen zu sehr vertrauen, ohne Downloadquellen eigenständig zu überprüfen.

Die Operation verdeutlicht gleichzeitig die wachsenden Sicherheitsrisiken rund um KI-gestützte Such- und Empfehlungssysteme.

Malware nutzt legitime Werkzeuge zur Aufrechterhaltung des Zugriffs

Forscher erklärten, dass die schädlichen Downloads meist als ZIP-Archive verteilt werden, die legitime Softwaredateien zusammen mit schädlichen DLL-Komponenten enthalten. Wenn Nutzer das vertrauenswürdige Programm starten, lädt Windows automatisch die schädliche DLL-Datei und startet die Infektionskette.

Microsoft erklärte, dass die Malware das legitime Fernwartungstool ScreenConnect installiert, um dauerhaften Zugriff auf infizierte Systeme zu behalten. Die Angreifer können diesen Zugang später nutzen, um weitere Malware zu installieren oder zusätzliche schädliche Aktivitäten auszuführen.

Die Malware verwendet außerdem mehrere Tarntechniken, um unentdeckt zu bleiben, darunter:

  • Process Hollowing
  • PowerShell-Ausführung
  • Änderungen an Defender-Ausnahmen
  • Erkennung virtueller Maschinen
  • Prüfungen von Sicherheitswerkzeugen

Forscher erklärten, dass die Malware schädlichen Code in legitime, von Microsoft signierte .NET-Prozesse injiziert, um die Wahrscheinlichkeit einer Erkennung durch Sicherheitssoftware zu verringern.

Cryptojacking-Kampagnen entwickeln sich weiter

Forscher warnten, dass GPU-Mining-Malware für cyberkriminelle Gruppen weiterhin attraktiv bleibt, weil infizierte Systeme über lange Zeiträume unauffällig Kryptowährung generieren können.

Im Gegensatz zu Ransomware-Angriffen vermeiden Cryptojacking-Operationen oft auffälliges Verhalten. Stattdessen konzentrieren sich die Angreifer darauf, verborgen zu bleiben und GPU-Ressourcen im Hintergrund zu nutzen.

Betroffene Nutzer könnten Symptome bemerken wie:

  • Langsamere Systemleistung
  • Höhere GPU-Temperaturen
  • Laut laufende Lüfter
  • Erhöhter Stromverbrauch
  • Systeminstabilität

Sicherheitsexperten empfahlen, Software ausschließlich von offiziellen Herstellerseiten herunterzuladen. Nutzer sollten außerdem Downloads über Werbung, verdächtige Suchergebnisse oder nicht verifizierte KI-Chatbot-Links vermeiden.

Fazit

Die Kampagne mit GPU-Mining-Malware zeigt, wie Angreifer SEO-Poisoning und die Manipulation von KI-Chatbots kombinieren, um Cryptojacking-Malware über gefälschte Software-Downloads zu verbreiten. Forscher warnten, dass die Operation gezielt Nutzer mit leistungsstarken PCs angreift, die profitable Kryptowährungs-Mining-Erträge liefern können.

Microsoft erklärte, dass Nutzer Downloadquellen sorgfältig überprüfen und sich bei der Suche nach Software nicht vollständig auf KI-generierte Empfehlungen verlassen sollten. Die Kampagne zeigt außerdem, wie Cyberkriminelle klassische Angriffsmethoden an moderne KI-gestützte Surf-Umgebungen anpassen.


0 Kommentare zu „GPU-Mining-Malware verbreitet sich über SEO-Poisoning und KI-Chatbots“