Forskare upptäckte en kampanj med GPU-miningmalware som sprids genom SEO-förgiftning och manipulerade rekommendationer från AI-chattbotar. Angriparna riktar in sig på användare som söker efter populära PC-verktyg som ofta används av gamers, utvecklare och hårdvaruentusiaster.
Microsoft varnade för att operationen kombinerar falska programnedladdningar, manipulerade sökresultat och AI-assisterade spridningstekniker för att infektera system med cryptojacking-malware. Kampanjen visar hur hotaktörer fortsätter att anpassa social engineering-metoder till moderna surfvanor och AI-drivna sökverktyg.
Angripare riktar in sig på användare som söker populär programvara
Enligt Microsoft fokuserar kampanjen på användare som sannolikt äger kraftfulla datorer med högpresterande GPU. Dessa system genererar större kryptovalutavinster för angriparna när de väl blivit komprometterade.
Forskare uppgav att de skadliga webbplatserna utger sig för att vara legitima nedladdningssidor för välkända program, bland annat:
- CrystalDiskInfo
- HWMonitor
- Display Driver Uninstaller
- FurMark
- K-Lite Codec Pack
- PDFgear
Användare som söker efter dessa program kan stöta på falska webbplatser som lyfts fram genom SEO-förgiftningskampanjer. När användare laddar ner och kör installationsfilerna installerar malwaren ytterligare skadliga komponenter i bakgrunden.
Forskare varnade för att de falska webbplatserna efterliknar legitima programportaler mycket noggrant, vilket gör nedladdningarna trovärdiga vid första anblick.
AI-chattbotar hjälpte till att sprida malwaren
Microsofts forskare uppgav att vissa offer hittade de skadliga webbplatserna genom rekommendationer från AI-chattbotar. Användare som frågade AI-assistenter var de kunde ladda ner programvara fick enligt uppgifter länkar till domäner som kontrollerades av angriparna.
Utredare tror att angriparna manipulerade synlighet och sökrelevans online för att påverka AI-genererade svar. Kampanjen visar hur traditionella SEO-förgiftningstekniker nu sprider sig till AI-assisterade surfmiljöer.
Forskare varnade också för att många användare litar för mycket på AI-genererade rekommendationer utan att kontrollera nedladdningskällor själva.
Operationen visar samtidigt de växande säkerhetsriskerna kring AI-drivna sök- och rekommendationssystem.
Malwaren använder legitima verktyg för att behålla åtkomst
Forskare uppgav att de skadliga nedladdningarna vanligtvis levereras som ZIP-arkiv som innehåller legitima programfiler tillsammans med skadliga DLL-komponenter. När användare startar det betrodda programmet laddar Windows automatiskt den skadliga DLL-filen och startar infektionskedjan.
Microsoft förklarade att malwaren installerar det legitima fjärrhanteringsverktyget ScreenConnect för att behålla permanent åtkomst till infekterade system. Angriparna kan senare använda åtkomsten för att installera ytterligare malware eller genomföra fler skadliga aktiviteter.
Malwaren använder också flera tekniker för att undvika upptäckt, bland annat:
- Process hollowing
- PowerShell-exekvering
- Ändringar av Defender-undantag
- Detektering av virtuella maskiner
- Kontroller av säkerhetsverktyg
Forskare uppgav att malwaren injicerar skadlig kod i legitima .NET-processer signerade av Microsoft för att minska risken för upptäckt av säkerhetsprogram.
Cryptojacking-kampanjer fortsätter att utvecklas
Forskare varnade för att GPU-miningmalware fortfarande är attraktiv för cyberkriminella grupper eftersom infekterade system kan generera kryptovalutaintäkter under lång tid utan att väcka misstankar.
Till skillnad från ransomware-attacker undviker cryptojacking-operationer ofta störande beteenden. Angriparna fokuserar i stället på att förbli dolda samtidigt som de använder GPU-resurser i bakgrunden.
Offer kan märka symptom som:
- Långsammare systemprestanda
- Högre GPU-temperaturer
- Högljudda kylfläktar
- Ökad strömförbrukning
- Systeminstabilitet
Säkerhetsexperter rekommenderade användare att endast ladda ner programvara från officiella leverantörers webbplatser. Användare bör också undvika nedladdningar via annonser, misstänkta sökresultat eller obekräftade AI-chattbotlänkar.
Slutsats
Kampanjen med GPU-miningmalware visar hur angripare kombinerar SEO-förgiftning och manipulation av AI-chattbotar för att sprida cryptojacking-malware genom falska programnedladdningar. Forskare varnade för att operationen specifikt riktar sig mot användare med högpresterande datorer som kan generera lönsam kryptovalutamining.
Microsoft uppgav att användare bör kontrollera nedladdningskällor noggrant och undvika att förlita sig helt på AI-genererade rekommendationer när de söker efter programvara online. Kampanjen visar också hur cyberkriminella fortsätter att anpassa traditionella attackmetoder till moderna AI-drivna surfmiljöer.


0 svar till ”GPU-miningmalware sprids genom SEO-förgiftning och AI-chattbotar”