Microsoft ha advertido sobre una campaña activa de criptojacking que utiliza interacciones de chatbots de inteligencia artificial (IA) como mecanismo para mostrar sitios de descarga maliciosos.
«Esta nueva tecnología de entrega extiende la ingeniería social más allá de los resultados de búsqueda tradicionales y aumenta la visibilidad de las recomendaciones de software malicioso», dijeron los expertos de Microsoft Defender y el equipo de investigación de seguridad de Microsoft Defender en un informe publicado el martes.
Según el gigante tecnológico, la actividad se hace pasar por utilidades legítimas del sistema como CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack y PDFgear, y probablemente esté dirigida a usuarios con GPU de alto rendimiento. La idea es centrarse en comprometer sistemas con alto valor minero en lugar de infectar una gran cantidad de máquinas de forma indiscriminada.
El objetivo de la campaña no es sólo la motivación financiera. También hemos descubierto que los actores de amenazas pueden establecer acceso remoto persistente a hosts comprometidos a través de implementaciones de ScreenConnect, que pueden explotarse para actividades posteriores como robo de datos, movimiento lateral y ransomware.
Esta cadena de ataque está más planificada que otros esfuerzos típicos de minería de criptomonedas, eligiendo estratégicamente puntos finales que ayudan a maximizar el rendimiento de minería de GPU por dispositivo comprometido. El fabricante de Windows dijo que detectó y bloqueó la actividad relacionada con la campaña.
Todo comienza cuando los usuarios buscan utilidades de sistema y software de monitoreo de hardware confiables en los motores de búsqueda. Optimización de motores de búsqueda (SEO) Verá sitios maliciosos engañados por técnicas como el envenenamiento. Una iteración posterior observada en abril de 2026 indica que los usuarios son dirigidos a estos sitios a través de la interacción con herramientas basadas en modelos de lenguaje a gran escala (LLM) en lugar de a través de los resultados de los motores de búsqueda.
«En estos casos, los usuarios que solicitaron al chatbot de IA recomendaciones de descarga de software recibieron un enlace a un dominio controlado por el atacante en la respuesta generada», dijo Microsoft. «Si bien este comportamiento se basa en fuentes de datos que se correlacionan con patrones observados, es consistente con técnicas emergentes en el envenenamiento de resultados de búsqueda de IA y representa una extensión del envenenamiento de SEO tradicional más allá de los motores de búsqueda tradicionales».
Cada uno de estos sitios incluye un botón de descarga destacado que recupera un archivo ZIP de un subdominio específico de la campaña de gleeze(.)com alojado en una infraestructura asociada con Dynu, un proveedor de DNS dinámico utilizado con frecuencia por los atacantes. Se han identificado más de 150 dominios maliciosos que proporcionan herramientas maliciosas.
El archivo ZIP descargado contiene un archivo ejecutable legítimo y una DLL maliciosa (‘autorun.dll’) que se descarga cuando el usuario inicia el binario. Esta DLL está diseñada para instalar una segunda DLL maliciosa llamada ‘vcredist_x64.dll’ usando ‘msiexec.exe’. Este archivo es un instalador empaquetado para el software ScreenConnect.
Una vez instalado ScreenConnect, el cliente intentará continuamente establecer una conexión con el servidor controlado por el atacante en 193.42.11(.)108. La sesión de ScreenConnect actúa como conducto para un archivo ejecutable llamado «SimpleRunPE.exe».
Este binario es responsable de establecer persistencia en el host utilizando claves de ejecución de registro y tareas programadas, configurar exclusiones de Microsoft Defender, realizar comprobaciones antianálisis y emplear procesos de halo para iniciar código de minería con binarios confiables firmados por Microsoft.
En lugar de depender de la funcionalidad de transferencia de archivos de ScreenConnect para descartar el binario, algunos compromisos utilizan un script de PowerShell para recuperar el binario de una unidad remota, almacenarlo localmente como «vlc.exe» para mantenerlo discreto, crear una tarea programada para iniciarlo y luego eliminarlo.
El binario haloed, por otro lado, se comunica con el servidor del atacante, envía información extensa del host y descarga y ejecuta el archivo minero apropiado en tiempo de ejecución. El malware admite tres programas menores: gminer, lolMiner y SRBMiner-MULTI.
Además, el binario recrea artefactos de persistencia para garantizar la existencia continua y reconfigura las exclusiones de Defender si se eliminan. También vigila los procesos en ejecución y finaliza inmediatamente el minero si detecta alguno de los siguientes procesos:
taskmgr.exe (Administrador de tareas de Windows) Processhacker.exe, Processhacker2.exe (Process Hacker) procexp.exe, procexp64.exe (Process Explorer) systeminformer.exe (System Informer)
«Esta combinación de entrega asistida por IA, suplantación de software y acceso persistente resalta cómo los actores de amenazas están adaptando sus estrategias de ingeniería social y monetización al comportamiento de los usuarios modernos», dijo Microsoft.
Esta divulgación se produce días después de que Microsoft detallara cómo un atacante desconocido comprometió un dispositivo de firewall F5 BIG-IP con acceso a Internet y aprovechó las relaciones de confianza para reubicarse en un host interno de Linux, destacando la explotación continua de los dispositivos de borde con acceso a Internet como puntos de acceso iniciales.
La compañía dijo que el host Linux permitió a los atacantes realizar un reconocimiento completo y moverse lateralmente a servidores vulnerables de Atlassian Confluence, pero los intentos de ejecutar código remoto a través de una falla de seguridad sin parches en el software fallaron.
Como forma de eludir estas limitaciones, los atacantes supuestamente utilizaron el módulo ftplib de Python para configurar un servidor FTP en el host Linux inicial, transferir una herramienta de escaneo personalizada al servidor Confluence y luego obtener credenciales para autenticarse en la infraestructura de Windows. A esto le siguió un ataque de retransmisión Kerberos y la explotación de CVE-2025-33073.
«A partir de ahí, los atacantes comprometieron la aplicación SaaS vulnerable y abusaron de sus credenciales para realizar ataques de autenticación de estilo retransmisión contra Active Directory», dice el informe.
«En este incidente, el actor de amenazas utilizó una cuenta privilegiada para autenticarse en el servidor Linux a través de SSH. El actor de amenazas mantuvo este nivel de acceso durante toda la actividad observada sin establecer un mecanismo de persistencia explícito. Esto destacó el riesgo que representan las identidades con privilegios excesivos con privilegios sudo».
A principios de este mes, Microsoft también reveló otra intrusión en la que los atacantes explotaron relaciones operativas confiables y procesos de autenticación para establecer un acceso persistente, aprovechando proveedores de servicios de TI externos comprometidos y herramientas legítimas de administración de TI para orquestar campañas encubiertas enfocadas en el acceso a largo plazo y el robo de credenciales.
«Los proveedores de servicios externos y las herramientas de gestión integrada pueden convertirse en lagunas en la aplicación de la ley cuando la visibilidad es limitada o se asume la verificación. Los actores de amenazas entienden esto», dijo Redmond. «Aprovechan componentes legítimos, rutas de actualización confiables e integraciones aprobadas para afianzarse en entornos que parecen compatibles en la superficie».
«Los defensores deben adoptar una actitud de validación intencional. Confiar en los proveedores y las herramientas, pero verificar su comportamiento dentro del entorno. Las organizaciones que operan en sectores sensibles deben asumir que los actores de amenazas con este nivel de sofisticación continuarán refinando la explotación de terceros, la interceptación de credenciales y los mecanismos de persistencia sigilosa para mantener el acceso estratégico».
Source link
