Microsoft heeft gewaarschuwd voor een actieve cryptojacking-campagne die gebruik maakt van kunstmatige intelligentie (AI) chatbot-interacties als mechanisme om kwaadaardige downloadsites op te sporen.
“Deze opkomende leveringstechniek breidt social engineering verder uit dan conventionele zoekresultaten en vergroot de zichtbaarheid van aanbevelingen voor kwaadaardige software”, aldus Microsoft Defender Experts en het Microsoft Defender Security Research Team in een dinsdag gepubliceerd rapport.
Volgens de technologiegigant imiteert de activiteit legitieme systeemhulpprogramma’s zoals CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack en PDFgear, waarschijnlijk in een poging zich te richten op gebruikers die over krachtige GPU’s beschikken. Het idee is om ons te concentreren op het compromitteren van systemen met een hogere mijnbouwwaarde dan het zonder onderscheid infecteren van een groot aantal machines, voegde het eraan toe.
De doelstellingen van de campagne zijn niet louter financieel gemotiveerd. Er is ook gebleken dat de bedreigingsactoren via ScreenConnect-implementaties voortdurend toegang op afstand tot gecompromitteerde hosts tot stand brengen, die vervolgens kunnen worden gebruikt voor vervolgactiviteiten, zoals gegevensdiefstal, zijdelingse verplaatsing of ransomware.
De aanvalsketen is doelbewuster dan andere typische cryptocurrency-mining-inspanningen, waarbij strategisch wordt gekozen voor eindpunten die de GPU-mining-opbrengst per gecompromitteerd apparaat helpen maximaliseren. De Windows-maker zei dat het activiteiten in verband met de campagne had gedetecteerd en geblokkeerd.
Het begint allemaal wanneer gebruikers op zoekmachines zoeken naar vertrouwde systeemhulpprogramma’s en software voor hardwaremonitoring, waardoor kwaadaardige sites worden gevonden die zijn bespeeld via technieken als zoekmachineoptimalisatie (SEO). Latere iteraties die in april 2026 werden waargenomen, geven aan dat gebruikers niet naar deze sites worden geleid via de resultaten van zoekmachines, maar eerder via interacties met op grote taalmodellen (LLM) gebaseerde tools.
“In deze gevallen kregen gebruikers die AI-chatbots vroegen om aanbevelingen voor softwaredownloads links naar door de aanvaller gecontroleerde domeinen te zien in gegenereerde antwoorden”, aldus Microsoft. “Hoewel dit gedrag gebaseerd is op waargenomen patronen en gecorreleerde gegevensbronnen, komt het overeen met opkomende technieken op het gebied van AI-zoekresultaatvergiftiging, die een uitbreiding vertegenwoordigen van traditionele SEO-vergiftiging buiten conventionele zoekmachines.”
Elk van deze sites bevat een prominente downloadknop die een ZIP-archief ophaalt van een campagnespecifiek subdomein van gleeze(.)com, dat wordt gehost door een infrastructuur die is gekoppeld aan Dynu, een dynamische DNS-provider die vaak wordt gebruikt door bedreigingsactoren. Er zijn meer dan 150 kwaadaardige domeinen geïdentificeerd die de kwaadaardige tools bedienen.
Het gedownloade ZIP-bestand bevat een legitiem uitvoerbaar bestand samen met een frauduleuze DLL (“autorun.dll”) die sideloaded wordt wanneer het binaire bestand door de gebruiker wordt gestart. De DLL is ontworpen om een tweede kwaadaardige DLL met de naam ‘vcredist_x64.dll’ te installeren met behulp van ‘msiexec.exe’. Het bestand is een verpakt installatieprogramma voor ScreenConnect-software.
Zodra ScreenConnect is geïnstalleerd, probeert de client voortdurend contact te maken met een door de aanvaller bestuurde server op “193.42.11(.)108.” De ScreenConnect-sessie dient vervolgens als kanaal voor een uitvoerbaar bestand genaamd “SimpleRunPE.exe.”
Het binaire bestand is verantwoordelijk voor het tot stand brengen van persistentie op de host met behulp van Registry Run-sleutels en geplande taken, het configureren van Microsoft Defender-uitsluitingen, het uitvoeren van anti-analysecontroles en het toepassen van procesuitholling om de mining-code te starten onder een vertrouwd, door Microsoft ondertekend binair bestand.
Bij bepaalde compromissen wordt, in plaats van te vertrouwen op de bestandsoverdrachtfunctionaliteit van ScreenConnect om het binaire bestand te verwijderen, een PowerShell-script gebruikt om het binaire bestand op te halen van een externe schijf, het lokaal op te slaan als “vlc.exe” om onder de radar te blijven, een geplande taak te maken om het te starten en zichzelf vervolgens te verwijderen.
Het uitgeholde binaire bestand communiceert op zijn beurt met de server van de aanvaller, verzendt uitgebreide hostinformatie, downloadt het juiste mijnarchief tijdens runtime en voert het uit. Drie minerprogramma’s worden ondersteund door de malware: gminer, lolMiner en SRBMiner-MULTI.
Bovendien reconstrueert het binaire bestand de persistentieartefacten om voortdurende aanwezigheid te garanderen en configureert het de uitsluitingen van Defender opnieuw voor het geval ze worden verwijderd. Het houdt ook lopende processen in de gaten en beëindigt de mijnwerker onmiddellijk als een van de volgende processen wordt gedetecteerd:
- taskmgr.exe (Windows Taakbeheer)
- processhacker.exe, processhacker2.exe (proceshacker)
- procexp.exe, procexp64.exe (Procesverkenner)
- systeminformer.exe (Systeeminformer)
“Deze combinatie van AI-ondersteunde levering, software-imitatie en permanente toegang benadrukt hoe bedreigingsactoren social engineering en strategieën voor het genereren van inkomsten aanpassen aan modern gebruikersgedrag”, aldus Microsoft.
De onthulling komt dagen nadat Microsoft heeft gedetailleerd hoe een onbekende bedreigingsacteur een internetgerichte F5 BIG-IP-firewalltoepassing heeft gecompromitteerd en vertrouwde relaties heeft misbruikt om naar een interne Linux-host te gaan, wat de voortdurende exploitatie van internetgerichte edge-apparaten als initiële toegangspunten benadrukt.
De Linux-host stelde de aanvaller in staat uitgebreide verkenningen uit te voeren en lateraal naar een kwetsbare Atlassian Confluence-server te gaan, hoewel pogingen om externe code uit te voeren via niet-gepatchte beveiligingsfouten in de software niet succesvol waren.
Om deze beperkingen te omzeilen, zou de bedreigingsacteur een FTP-server hebben opgezet op de oorspronkelijke Linux-host met behulp van de ftplib-module van Python om een aangepast scanhulpmiddel over te dragen naar de Confluence-server en vervolgens inloggegevens hebben verkregen voor daaropvolgende authenticatie tegen de Windows-infrastructuur. Dit werd gevolgd door Kerberos-relay-aanvallen en de exploitatie van CVE-2025-33073.
“Van daaruit heeft de bedreigingsacteur een kwetsbare SaaS-applicatie gecompromitteerd en de inloggegevens ervan gebruikt om relay-stijl authenticatieaanvallen uit te voeren op Active Directory”, aldus het rapport.
“Bij dit incident heeft de bedreigingsacteur zich via SSH geauthenticeerd op een Linux-server met behulp van een geprivilegieerd account. De bedreigingsacteur handhaafde dit toegangsniveau tijdens de waargenomen activiteit zonder expliciete persistentiemechanismen in te stellen, wat het risico onderstreepte van overbevoorrechte identiteiten met sudo-rechten.”
Eerder deze maand wierp Microsoft ook licht op een andere inbreuk waarbij aanvallers misbruik maakten van vertrouwde operationele relaties en authenticatieprocessen om duurzame toegang tot stand te brengen, waarbij ze een gecompromitteerde externe IT-dienstverlener en legitieme IT-beheertools gebruikten om een geheime campagne te orkestreren die gericht was op langdurige toegang en diefstal van inloggegevens.
“Externe dienstverleners en geïntegreerde beheertools kunnen een leemte in de handhaving worden als de zichtbaarheid beperkt is of er van validatie wordt uitgegaan. Bedreigingsactoren begrijpen dit”, aldus Redmond. “Ze maken gebruik van legitieme componenten, vertrouwde updatepaden en goedgekeurde integraties om zichzelf te verankeren in omgevingen die op het eerste gezicht compatibel lijken.”
“Verdedigers moeten een houding van doelbewuste verificatie aannemen. Vertrouw op uw leveranciers en tools, maar valideer hun gedrag binnen uw omgeving. Organisaties die in gevoelige sectoren actief zijn, moeten ervan uitgaan dat bedreigingsactoren met dit niveau van vakmanschap doorgaan met het verfijnen van misbruik door derden, het onderscheppen van inloggegevens en heimelijke persistentiemechanismen om strategische toegang te behouden.”
