Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Nowa kampania cryptojackingowa pokazuje, że klasyczne SEO poisoning rozszerza się na kolejny obszar: odpowiedzi generowane przez chatboty AI. Atakujący podszywają się pod popularne narzędzia systemowe, diagnostyczne i związane z obsługą GPU, aby nakłonić użytkowników do pobrania spreparowanych pakietów instalacyjnych. Celem nie jest przypadkowa, masowa infekcja, lecz przejęcie komputerów o wysokiej mocy obliczeniowej, które można wykorzystać do kopania kryptowalut.
To istotna zmiana w krajobrazie zagrożeń, ponieważ użytkownicy coraz częściej traktują odpowiedzi asystentów AI jako skrót do zaufanych źródeł. Jeśli model wskaże złośliwą domenę lub użytkownik bez weryfikacji kliknie rekomendowany wynik, ryzyko skutecznej kompromitacji znacząco rośnie.
W skrócie
Badacze Microsoft opisali aktywną kampanię wymierzoną w osoby pobierające znane narzędzia do monitorowania sprzętu, testów GPU i zarządzania sterownikami. Złośliwe strony są promowane przez manipulację wynikami wyszukiwania, a część obserwacji wskazuje również na ich obecność w odpowiedziach chatbotów AI rekomendujących źródła pobrań.
Po uruchomieniu spreparowanego archiwum ofiara instaluje legalny program wraz ze złośliwą biblioteką DLL. Następnie na system wdrażane są komponenty zdalnego dostępu, mechanizmy trwałości, techniki ukrywania procesu oraz moduły do kopania kryptowalut z użyciem GPU.
Kontekst / historia
SEO poisoning od lat pozostaje skuteczną metodą dystrybucji malware. Mechanizm polega na sztucznym promowaniu złośliwych stron w wynikach wyszukiwania dla popularnych fraz związanych z pobieraniem oprogramowania, sterowników, cracków czy narzędzi administracyjnych. W tej kampanii operatorzy skupili się na markach dobrze znanych entuzjastom komputerów, overclockerom i użytkownikom stacji roboczych.
To nieprzypadkowy wybór. Taka grupa docelowa częściej korzysta z wydajnych kart graficznych, a więc z zasobów szczególnie atrakcyjnych dla cryptojackingu. Według ustaleń Microsoft od marca 2026 roku zidentyfikowano ponad 150 złośliwych domen powiązanych z tym łańcuchem infekcji. W kwietniu 2026 roku pojawiły się też przesłanki, że niektórzy użytkownicy trafiali na domeny napastników po interakcjach z narzędziami opartymi na dużych modelach językowych.
Analiza techniczna
Łańcuch ataku rozpoczyna się od wyszukania legalnego narzędzia. Użytkownik trafia na stronę imitującą oficjalny serwis i pobiera archiwum ZIP zawierające prawidłowy plik wykonywalny oraz złośliwą bibliotekę DLL. Taki model umożliwia połączenie wiarygodności legalnej aplikacji z uruchomieniem szkodliwego kodu bez natychmiastowego wzbudzania podejrzeń.
Zgodnie z analizą Microsoft złośliwa biblioteka wykorzystuje proces instalacji do wdrożenia komponentu zdalnego dostępu opartego na narzędziu ScreenConnect. Samo oprogramowanie nie jest z natury złośliwe, jednak w tym scenariuszu służy do utrzymania trwałego dostępu do przejętego hosta. Po ustanowieniu sesji operator dostarcza kolejne pliki, w tym binarium określane jako SimpleRunPE.exe, które kopiuje się jako RuntimeHost.exe do ukrytego katalogu i tworzy wiele mechanizmów autostartu.
Jednym z ważniejszych elementów kampanii jest process hollowing. Złośliwy kod trafia do legalnych, podpisanych plików binarnych platformy .NET oraz narzędzi systemowych Windows, co utrudnia wykrycie oparte wyłącznie na reputacji plików. Badacze wskazali między innymi na wykorzystanie procesów InstallUtil.exe, RegAsm.exe, RegSvcs.exe i MSBuild.exe. Dodatkowo malware uruchamia PowerShell, aby dodać własną ścieżkę i proces do wyjątków rozwiązania ochronnego.
Próbki zawierają także mechanizmy antyanalityczne. Malware sprawdza obecność środowisk wirtualnych i procesów związanych z analizą bezpieczeństwa. W przypadku ich wykrycia kończy działanie, ograniczając skuteczność analizy w laboratoriach oraz sandboxach.
Ostatnim etapem jest monetyzacja. Na zaatakowany system pobierane są moduły górnicze obsługujące kopanie kryptowalut na GPU, w tym gminer, lolMiner oraz SRBMiner-MULTI. To pokazuje, że operatorzy chcą maksymalizować zysk z pojedynczej infekcji, wykorzystując moc obliczeniową nowoczesnych kart graficznych zamiast skupiać się wyłącznie na CPU.
Konsekwencje / ryzyko
Ryzyko nie ogranicza się do spadku wydajności komputera. Wdrożenie legalnego narzędzia zdalnego dostępu oznacza, że napastnik może rozbudować kompromitację, dostarczyć dodatkowe malware, kraść dane lub poruszać się ręcznie po środowisku. Obecność mechanizmów trwałości i wyjątków w systemach ochronnych zwiększa szansę, że infekcja będzie aktywna przez dłuższy czas i pozostanie niezauważona.
Z perspektywy operacyjnej cryptojacking na GPU oznacza wysokie zużycie energii, przeciążenie podzespołów, spadek stabilności stacji roboczych i potencjalne skrócenie żywotności sprzętu. Szczególnie dotkliwe może to być w organizacjach korzystających z wydajnych kart graficznych w zespołach projektowych, inżynieryjnych, data science, AI i produkcji multimediów.
Dodatkowym zagrożeniem jest sam kanał socjotechniczny. Jeśli użytkownicy zaczną traktować chatboty AI jako równoważne z oficjalnym źródłem pobierania programów, powierzchnia ataku wyraźnie się zwiększy. W praktyce oznacza to, że bezpieczeństwo procesu pozyskiwania oprogramowania staje się dziś nie tylko problemem wyszukiwarek, ale też narzędzi generatywnej AI.
Rekomendacje
Podstawową zasadą powinno być pobieranie oprogramowania wyłącznie z oficjalnych stron producentów oraz z zatwierdzonych repozytoriów firmowych. W środowiskach organizacyjnych warto wdrożyć politykę allowlistingu dla narzędzi administracyjnych i użytkowych, szczególnie tych często instalowanych poza standardowym procesem IT.
Należy monitorować użycie legalnych narzędzi zdalnego dostępu, takich jak ScreenConnect, zwłaszcza jeśli pojawiają się na stacjach roboczych bez uzasadnienia biznesowego. Alarmujące powinny być również nietypowe uruchomienia procesów .NET i narzędzi systemowych charakterystyczne dla process hollowing, a także modyfikacje wyjątków w rozwiązaniach ochronnych wykonywane przez PowerShell.
- nagłe i nietypowe wykorzystanie GPU na stacjach roboczych, szczególnie poza godzinami pracy,
- uruchamianie narzędzi takich jak gminer, lolMiner lub SRBMiner-MULTI,
- tworzenie wielu wpisów autostartu i ukrytych katalogów użytkownika,
- uruchamianie legalnych aplikacji wraz z podejrzanymi bibliotekami DLL w tym samym katalogu,
- nieoczekiwane sesje zdalne i transfery plików inicjowane przez narzędzia wsparcia technicznego.
Ważna jest też edukacja użytkowników. Wyszukiwarki i chatboty AI nie powinny być traktowane jako ostateczne źródło zaufania dla linków do instalatorów. Jeśli pracownik korzysta z asystenta AI do znalezienia programu, powinien zweryfikować dostawcę i samodzielnie przejść do oficjalnej witryny producenta, zamiast klikać pierwszy wskazany odnośnik.
Podsumowanie
Opisana kampania pokazuje, że znane techniki dystrybucji malware skutecznie adaptują się do nowych kanałów. SEO poisoning nadal działa, ale dziś może być wzmacniane przez odpowiedzi generowane przez narzędzia AI, jeśli źródła nie są odpowiednio weryfikowane. Technicznie atak łączy podszywanie się pod legalne oprogramowanie, DLL sideloading, nadużycie narzędzia zdalnego dostępu, trwałość, process hollowing, unikanie analizy i końcowe kopanie kryptowalut na GPU.
Dla zespołów bezpieczeństwa to sygnał, że należy monitorować nie tylko klasyczne próbki malware, lecz także nadużycia legalnych narzędzi oraz anomalie związane z pozyskiwaniem oprogramowania. W erze generatywnej AI kontrola źródeł pobrań staje się jednym z kluczowych elementów cyberhigieny.
Źródła
- BleepingComputer – GPU mining malware spreads via SEO poisoning, AI chatbots — https://www.bleepingcomputer.com/news/security/gpu-mining-malware-spreads-via-seo-poisoning-ai-chatbots/
- Microsoft Security Blog – From poisoned search results to GPU mining: A cryptojacking campaign abusing ScreenConnect and Microsoft .NET utilities — https://www.microsoft.com/en-us/security/blog/2026/05/26/poisoned-search-results-gpu-mining-cryptojacking-campaign-abusing-screenconnect-microsoft-net-utilities/
- ScreenConnect – Remote Support & Access Solutions — https://www.screenconnect.com/