La nuova campagna di cryptojacking individuata da Microsoft sta attirando l’attenzione della cybersecurity globale per la sua capacità di combinare tecniche tradizionali di diffusione del malware con strumenti emergenti come i chatbot AI. L’obiettivo è chiaro: colpire utenti con GPU ad alte prestazioni, in particolare gamer, overclocker e appassionati di hardware, per sfruttarne la potenza di calcolo a fini di mining di criptovalute.
Microsoft e la scoperta della campagna di cryptojacking
Secondo il report pubblicato dai team di Microsoft Defender, la campagna ha come obiettivo principale la distribuzione di malware per il mining GPU mascherato da software legittimi. I criminali informatici imitano utility molto diffuse come HWMonitor, CrystalDiskInfo, FurMark, Display Driver Uninstaller (DDU) e K-Lite Codec Pack, sfruttando la fiducia degli utenti in questi strumenti.
L’aspetto più rilevante è la selezione delle vittime: non si tratta di un attacco indiscriminato, ma di una strategia mirata a sistemi con hardware grafico potente, più redditizi per operazioni di cryptomining. Il malware viene diffuso tramite download apparentemente legittimi, spesso difficili da distinguere dalle versioni originali.
SEO poisoning e chatbot AI come vettori di diffusione
La campagna sfrutta in modo esteso il cosiddetto SEO poisoning, una tecnica che manipola i risultati dei motori di ricerca per far apparire in alto siti malevoli. In questo modo, chi cerca software affidabili può essere indirizzato verso pagine controllate dagli attaccanti, dove vengono distribuiti archivi ZIP infetti.
Microsoft segnala inoltre un elemento particolarmente significativo: in alcuni casi, i link malevoli sarebbero comparsi anche all’interno di risposte generate da chatbot AI. Non si tratta di un problema sistemico dei modelli, ma di un uso opportunistico dei sistemi di raccomandazione, che possono essere sfruttati per amplificare la visibilità di domini fraudolenti. La campagna coinvolge oltre 150 domini, molti dei quali ospitati su infrastrutture dinamiche come gleeze.com e servizi DNS abusati.
Catena d’infezione e tecniche di persistenza
La fase iniziale dell’attacco è semplice ma efficace: l’utente scarica un file ZIP contenente il software originale e una DLL malevola, spesso chiamata autorun.dll. Quando il programma viene avviato, Windows carica automaticamente la DLL attraverso la tecnica di DLL sideloading, senza necessità di exploit complessi.
Una volta attivo, il malware installa strumenti di accesso remoto legittimi come ScreenConnect, abusandone per il controllo del sistema. Successivamente vengono attivate numerose tecniche di persistenza, tra cui attività pianificate, modifiche all’avvio di Windows e la creazione di processi nascosti. Il sistema tenta inoltre di resistere alla rimozione reinserendo esclusioni in Microsoft Defender.
Mining GPU, evasione e controllo del sistema
Dopo la compromissione iniziale, gli aggressori utilizzano strumenti come lolMiner, gminer e SRBMiner-MULTI per avviare il mining di criptovalute. Il malware non installa sempre direttamente i miner, ma li scarica in base alle caratteristiche del sistema infetto, analizzando GPU, CPU e stato delle protezioni.
Particolarmente sofisticata è la capacità di evasione: il malware monitora l’utilizzo della GPU e sospende le attività di mining durante sessioni di gioco o carichi elevati, evitando così segnali evidenti come cali di prestazioni o surriscaldamento. Inoltre, esegue controlli anti-analisi per individuare ambienti virtuali e strumenti forensi come Wireshark, IDA o x64dbg, interrompendosi se rilevati.
Come agire davanti agli attacchi malware
Occorre prudenza: scarica sempre software da siti ufficiali ed evita link promossi da risultati sponsorizzati.
Se noti rallentamenti anomali o picchi nell’uso della GPU, verifica subito i processi attivi e avvia una scansione antivirus approfondita.
Fonte: Tom’s Hardware
