微软警告高端PC用户面临隐蔽加密货币挖矿威胁

微软威胁情报部门发现了一场结合网络漏洞利用与高度复杂社会工程学的隐蔽加密货币挖旷活动。

该活动专门针对硬件发烧友和PC游戏玩家，劫持其高性能GPU资源进行非法加密货币挖旷。

微软Defender专家观察到，攻击者正通过污染AI聊天机器人搜索结果诱导用户下载恶意软件。

AI与SEO攻击链

传统加密货币挖旷攻击往往追求感染量而非精准性。

但新发现的攻击链专门设计为从单台设备榨取最大收益。

攻击者通过搜索引擎优化(SEO)投毒及大型语言模型(LLM)聊天机器人回复中的恶意链接引诱目标。

card

试图下载正版软件的用户会被导向高仿域名。

恶意网站伪装成主流硬件坚控和系统工具。

被篡改的下载包包括CrystalDiskInfo、HWMonitor、FurMark等。

高级规避技术

用户下载目标软件后，将获得内含恶意文件的ZIP压缩包。

系统通过DLL侧加载静默启动恶意程序。

随后恶意软件会部署正规商业远程管理工具ScreenConnect，使攻击者获得持久访问权限。

攻击者采用"进程镂空"技术——

通过名为⁠的自定义.NET载荷启动受微软签名的可信Windows工具，并将挖旷代码直接注入该工具的内存空间。

加载器继而下载gminer等GPU专用挖旷客户端。

恶意软件持续坚控宿主系统以保持隐蔽：

实时监测GPU使用率与用户空闲时间，当受害者活跃时自动终止挖旷活动以避免性能骤降被发现。

反复操纵Windows PowerShell在杀毒设置中添加排除路径。

微软已确认Microsoft Defender防病毒软件和Microsoft Defender for Endpoint能检测并拦截相关威胁。