СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
28 мая
#ИБ

Хакеры превратили подсказки нейросетей в способ заразить мощные ПК криптомайнерами

Хакеры превратили подсказки нейросетей в способ заразить мощные ПК криптомайнерами

изображение: recraft

Microsoft зафиксировала кампанию криптоджекинга, нацеленную на владельцев игровых компьютеров и рабочих станций с производительными видеокартами. Заражённые версии популярных утилит для мониторинга железа распространяются через SEO-манипуляции в поисковиках и через ссылки, которые выдают пользователям AI-ассистенты. Цель атакующих — добыча криптовалюты чужими мощностями GPU.

Под прицелом оказались инструменты, к которым регулярно обращаются геймеры, любители разгона и те, кто разбирается в комплектующих. В роли приманок выступают:

  • CrystalDiskInfo и HWMonitor;
  • FurMark;
  • Display Driver Uninstaller;
  • K-Lite Codec Pack;
  • PDFgear.

Жертва ищет нужную программу в сети и натыкается на сайт, который мошенники вручную подняли в выдаче. Раньше этим всё и ограничивалось, но в 2026 году появился второй маршрут. Часть людей переходила на заражённые домены после диалога с чат-ботом — спрашивали, откуда скачать утилиту, а в ответе всплывала ссылка на ресурс под контролем преступников.

Стоит обратить внимание — нейросети фактически превратились в новый канал доставки вредоносного кода, потому что аудитория доверяет их рекомендациям почти так же, как поисковой строке.

Загрузка приводит к ZIP-архиву на поддоменах gleeze[.]com, который и прежде мелькал в фишинговых расследованиях. Внутри лежит настоящий исполняемый файл программы и подложенная рядом DLL-библиотека, подгружающаяся при старте автоматически.

Дальше разворачивается цепочка действий:

  • вредоносная DLL через msiexec.exe ставит компонент vcredist_x64.dll;
  • внутри спрятан ScreenConnect, легитимный инструмент удалённого администрирования;
  • через него атакующие закрепляют постоянный доступ к машине.

Следом подтягивается SimpleRunPE.exe. Он копирует себя под именем RuntimeHost.exe в скрытую папку Windows и сразу цепляется к системе шестью разными способами автозапуска. В части случаев компонент прикидывается vlc.exe и старается сойти за медиаплеера.

Часть инструментария, по оценке Microsoft, собрана из открытых GitHub-репозиториев для process hollowing — приёма скрытного внедрения кода внутрь доверенных процессов Windows. Вредонос пытается прописаться внутри подписанных Microsoft исполняемых файлов:

  • InstallUtil.exe и RegAsm.exe;
  • RegSvcs.exe;
  • MSBuild.exe;
  • AppLaunch.exe, AddInProcess.exe и aspnet_compiler.exe.

Параллельно зловред запускает PowerShell и сам прописывает себя в исключения Microsoft Defender, чтобы защитник его не трогал. Перед стартом майнера программа сканирует окружение на признаки виртуальных машин и примерно 40 процессов, связанных с песочницами и аналитическими утилитами. Найдёт что-то подозрительное — тихо завершит работу.

Любопытно, что злоумышленникам неинтересна массовость. Их добыча — конкретно системы с сильными GPU, которые приносят максимум от майнинга.

После закрепления стартует один из трёх GPU-майнеров — gminer, lolMiner или SRBMiner-MULTI. Каждый отбирает ресурсы видеокарты под добычу монет. Получается, что мишенью стали именно игровые сборки, станции для рендеринга и машины энтузиастов.

Раньше Nvidia срочно закрыла 14 опасных дыр в драйверах GeForce, RTX, Tesla и Quadro, причём часть из них давала возможность выполнить код и забрать полный контроль над компьютером. Ещё специалисты фиксировали атаки GPUBreach на карты NVIDIA с памятью GDDR6, где взлом видеокарты мог обернуться захватом всей машины.

Эксперты редакции CISOCLUB уверены, что переход атакующих в поле AI-рекомендаций — закономерный шаг, а не разовый эксперимент. Пользователи привыкли воспринимать ответ чат-бота как готовое решение и переходят по ссылкам без той осторожности, которую проявили бы при обычном поиске. Защититься поможет простое правило — скачивать софт только с официальных сайтов разработчиков, сверяя адрес вручную.

Любая ссылка из ответа нейросети требует перепроверки, какой бы убедительной она ни выглядела. Отдельного внимания заслуживает привычка зловреда отключать защитника и маскироваться под системные процессы, поэтому контроль автозапуска и регулярный аудит исключений Defender становятся обязательными. Владельцам мощных сборок стоит относиться к этому серьёзнее остальных, ведь именно их железо превращает чужую жадность в реальный доход.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: