Microsoft ostrzega graczy PC. Fałszywe benchmarki i sterowniki instalują koparki kryptowalut

Osoby pobierające popularne narzędzia diagnostyczne i benchmarki znalazły się na celowniku hakerów. Microsoft ostrzega przed nową kampanią malware, która atakuje użytkowników pobierających m.in. Display Driver Uninstaller, CrystalDiskInfo, HWMonitor czy FurMark.

Według zespołu Microsoft Defender cyberprzestępcy manipulują wynikami wyszukiwania oraz odpowiedziami chatbotów AI, aby kierować użytkowników na fałszywe strony podszywające się pod oficjalne witryny znanych programów. Ta metoda jest już znana, aczkolwiek obecnie na celowniku hakerów znaleźli się użytkownicy korzystający z popularnych benchmarków czy narzędzi diagnostycznych.

Na celowniku użytkownicy znanych programów

Ataki są wymierzone przede wszystkim w osoby posiadające wydajne komputery wyposażone w dedykowane karty graficzne. To właśnie takie maszyny najlepiej nadają się do kopania kryptowalut, dlatego stały się głównym celem nowej kampanii cryptojackingu.

Osoby pobierające popularne narzędzia diagnostyczne i benchmarki znalazły się na celowniku hakerów. Microsoft ostrzega przed nową kampanią malware, która atakuje użytkowników pobierających m.in. Display Driver Uninstaller, CrystalDiskInfo, HWMonitor czy FurMark.

Przestępcy stosują technikę SEO poisoning polegającą na manipulowaniu wynikami wyszukiwania w wyszukiwarkach internetowych. Po wpisaniu nazw popularnych programów użytkownik może trafić na bardzo wiarygodnie wyglądające strony zawierające zainfekowane pliki. Problem dotyczy między innymi CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K Lite Codec Pack oraz PDFgear.

Według raportów pojawiających się w sieci cyberprzestępcy zaczęli wykorzystywać również chatboty AI. Jeden z użytkowników opisał sytuację, w której ChatGPT podał błędny adres strony do pobrania CrystalDiskMark. Fałszywa witryna korzystała z domeny .io, podczas gdy prawdziwa strona programu działa pod adresem .info.

Po pobraniu archiwum ZIP malware nie uruchamia się od razu. Najpierw instalowane jest narzędzie ScreenConnect wykorzystywane legalnie przez administratorów IT do zdalnego zarządzania komputerami. Dopiero później atakujący mogą instalować kolejne elementy złośliwego oprogramowania.

Sprytne działanie

Microsoft twierdzi również, że malware potrafi działać bardzo sprytnie. Kopanie kryptowalut uruchamia się głównie wtedy, gdy komputer pozostaje bezczynny, a aktywność użytkownika może powodować czasowe zatrzymanie działania malware, żeby utrudnić wykrycie problemu.

Chatboty w służbie hakerów

O użyciu do kampanii malware ChataGPT pisaliśmy ostatnio. Jest to w zasadzie rozwinięcie opisanego wyżej procederu, w ramach którego cyberprzestępcy korzystają z dostępnych publicznie narzędzi AI do prowadzenia szeroko zakrojonych akcji.

Zagrożenie potwierdzają teraz nie tylko badacze cyberbezpieczeństwa, ale sam Microsoft czy inne firmy technologiczne. Kampania LLMShare wykorzystująca legalne domeny OpenAI do rozprzestrzeniania złośliwego oprogramowania pokazała, iż sprawa jest poważna i trzeba zachować szczególną ostrożność przy pobieraniu plików. Nic nie zastąpi zdrowego rozsądku.