Microsoft ha individuato una campagna di cryptojacking particolarmente evoluta che punta a sottrarre potenza di calcolo alle GPU degli utenti, trasformando i PC compromessi in strumenti per il mining di criptovalute. L’operazione si distingue per la combinazione di tecniche tradizionali di attacco e nuovi vettori legati alla ricerca online e ai sistemi di intelligenza artificiale, con un’attenzione specifica verso gamer e possessori di hardware ad alte prestazioni.
Una campagna mirata contro utenti con GPU potenti
Secondo quanto riportato dai team di Microsoft Defender, l’operazione non è stata progettata per massimizzare il numero di infezioni, ma per colpire in modo selettivo sistemi dotati di GPU discrete particolarmente performanti. Questo rende il target ideale utenti come gamer, overclocker e professionisti che utilizzano software grafici o di AI.
I criminali informatici hanno mascherato il malware all’interno di installer apparentemente legittimi, riproducendo strumenti molto diffusi nel mondo PC come HWMonitor, CrystalDiskInfo, FurMark, Display Driver Uninstaller (DDU) e PDFgear. L’obiettivo è sfruttare la fiducia che gli utenti ripongono in utility consolidate per spingerli a scaricare versioni compromesse senza sospetti.
SEO poisoning e chatbot AI come nuovi canali di distribuzione
Uno degli elementi più rilevanti della campagna è l’uso del SEO poisoning, una tecnica che altera i risultati dei motori di ricerca per posizionare in alto siti controllati dagli attaccanti. In questo modo, chi cerca software legittimi può finire su pagine fraudolente che ospitano archivi ZIP malevoli.
Microsoft evidenzia inoltre un aspetto emergente: in alcuni casi, i link infetti sarebbero comparsi anche all’interno di risposte generate da chatbot AI. Non si tratta di una vulnerabilità diretta dei modelli, ma dell’utilizzo strategico di contenuti malevoli che riescono a essere riproposti nei processi di raccomandazione automatica. La campagna conta più di 150 domini malevoli, spesso ospitati su infrastrutture dinamiche o servizi DNS abusati, rendendo più difficile la loro tracciabilità.
Catena d’infezione e tecniche di persistenza
La fase iniziale dell’attacco è volutamente semplice. L’utente scarica un archivio ZIP che contiene sia il software originale sia una DLL malevola. Quando il programma viene eseguito, Windows attiva automaticamente la libreria dannosa tramite DLL sideloading, una tecnica che non richiede exploit e sfrutta il comportamento standard del sistema operativo.
Una volta attivo, il malware installa strumenti di accesso remoto come ScreenConnect, un software legittimo spesso abusato in contesti di attacco. Da lì, gli aggressori ottengono controllo remoto e possono distribuire ulteriori componenti malevoli. Tra questi figura un eseguibile associato a tecniche di process injection, utilizzato per nascondere il codice all’interno di processi firmati Microsoft come MSBuild.exe, InstallUtil.exe e RegAsm.exe.
Per garantire la permanenza nel sistema, il malware crea attività pianificate, modifiche all’avvio e più livelli di persistenza, oltre a reinserire esclusioni in Microsoft Defender anche dopo tentativi di rimozione.
Mining GPU, evasione e capacità anti-analisi
La fase finale dell’attacco è dedicata al mining vero e proprio. I sistemi compromessi vengono utilizzati per eseguire miner come lolMiner, gminer e SRBMiner-MULTI, scaricati dinamicamente in base alle caratteristiche hardware rilevate.
Il malware analizza in dettaglio GPU, CPU, memoria e software di sicurezza installato per scegliere il payload più efficiente. Una delle caratteristiche più sofisticate è la capacità di evasione: il miner monitora continuamente l’utilizzo della GPU e si interrompe durante sessioni di gioco o carichi intensi, riducendo la probabilità che l’utente noti anomalie evidenti come cali di frame rate o surriscaldamento.
In parallelo, il codice include controlli anti-analisi molto estesi. Il sistema cerca la presenza di strumenti come Wireshark, ProcMon, x64dbg, IDA, Ghidra e altri ambienti di reverse engineering o debugging. Se rilevati, il malware termina la propria esecuzione per evitare l’analisi da parte dei ricercatori.
Nel complesso, Microsoft descrive una campagna che unisce automazione, furtività e uso di infrastrutture legittime compromesse, segnando un’evoluzione significativa nelle tecniche di cryptojacking moderne.
