5 月 28 日消息,微软于 5 月 26 日发布研究报告,称一场加密挖矿攻击正瞄准全球高性能 Windows 11、Windows 10 电脑。
在诱导方面,微软称攻击者针对高性能电脑,伪装成 CrystalDiskInfo、HWMonitor、Display Driver Uninstaller、FurMark、K-Lite Codec Pack 和 PDFgear 等常用软件。
微软称,用户搜索这些工具后,可能先看到被 SEO 投毒推高排名的恶意链接。还有 4 月的部分报告显示,用户向 AI 助手询问软件下载建议后,生成结果里也出现了攻击者域名。
恶意下载包以 ZIP 压缩文件形式分发,托管在 gleeze [.]com 的子域名上。微软指出,这个压缩包会同时包含真实工具的合法可执行文件,以及一个会被自动加载的恶意 DLL。
用户启动看似正常的软件后,恶意 DLL 随即调用 msiexec.exe,安装伪装成 vcredist_x64.dll 的 ScreenConnect 远程访问组件,从而让攻击者拿到后续控制权。
拿到远程会话后,攻击者会投放名为 SimpleRunPE.exe 的安装文件,运行后会把自己复制成 RuntimeHost.exe,并藏进资源管理器中默认不显眼的位置,随后在多个 Windows 自启动位置建立 6 套持久化机制。
部分情况下,这个程序还会通过恶意 PowerShell 脚本落地,并保存为 vlc.exe,借此冒充 VideoLAN 播放器的可执行文件,降低用户警觉。
为了隐藏行为,这个样本还会使用进程镂空技术,把恶意代码塞进微软签名的 .NET 工具里运行,包括 InstallUtil.exe。
它还会调用 PowerShell,把自身路径和进程加入微软 Defender 排除列表。与此同时,恶意程序会检查虚拟机环境,并扫描 40 个分析工具进程名,一旦发现就立即退出。
在隐藏阶段完成后,攻击链会下载并执行 3 种矿工模块之一,分别是 gminer、lolMiner 和 SRBMiner-MULTI,这 3 款程序都面向 GPU 挖矿。
IT之家附上参考地址
- From poisoned search results to GPU mining: A cryptojacking campaign abusing ScreenConnect and Microsoft .NET utilities