Специалисты Microsoft раскрыли масштабную кампанию по скрытому майнингу криптовалют. Злоумышленники нацелились на владельцев мощных видеокарт, подсовывая им поддельные версии популярных утилит для диагностики и разгона ПК.
Какие программы под угрозой
Как выяснилось, под удар попали посетители, ищущие такие программы, как Display Driver Uninstaller (DDU), CrystalDiskInfo, HWMonitor, FurMark, K-Lite Codec Pack и PDFgear. Хакеры используют SEO-отравление - манипулируют выдачей поисковиков, чтобы их фейковые сайты-клоны оказывались на первых строчках. Любопытно, что большинство подобных кампаний нацелены на массовую аудиторию, но эта, обнаруженная ещё в апреле, работает точечно: её интересуют только машины с дискретными GPU.
AI-чатботы в помощь злоумышленникам
Но самое неприятное открытие - в игру вступили нейросети. Пользователи Reddit и данные телеметрии показывают, что хакеры научились обманывать AI-чатботов. Один из пострадавших рассказал: ChatGPT предложил ему скачать CrystalDiskMark по ссылке с доменом .io, тогда как официальный сайт программы находится в зоне .info. Файлы приходят в виде zip-архивов и не активируются сразу.
Как работает троян ScreenConnect
Проще говоря, вместо полезной утилиты жертва получает программу ScreenConnect - легальный инструмент для удалённого администрирования, который хакеры используют как троян. Через него они наблюдают за заражённой машиной и запускают майнер только в моменты бездействия пользователя, чтобы не спалиться.
«Кампания специально охотится за софтом для анализа GPU и тестирования - именно то железо, которое лучше всего подходит для добычи крипты», - пояснили в команде Windows Defender.
Как защититься от заражения
Microsoft уже выпустила рекомендации: включить облачную защиту в Defender, активировать сетевую и веб-защиту в Defender for Endpoint, а также использовать SmartScreen для блокировки сайтов-двойников. Самый надёжный совет - вообще отказаться от поисковиков и чат-ботов при скачивании софта. Википедия популярных приложений почти всегда даёт ссылку на официальный источник.