Wed, 27 May 2026
← VoltarCampanha ativa de cryptojacking aproveitando interações de chatbot de IA para direcionar usuários a sites de download maliciosos.
A Microsoft alertou sobre uma campanha ativa de cryptojacking que faz uso de interações de chatbot de inteligência artificial (IA) como um mecanismo para revelar sites de download maliciosos. “Essa técnica emergente de entrega estende a engenharia social além dos resultados de pesquisa convencionais e aumenta a visibilidade das recomendações de software malicioso”, disseram os especialistas do Microsoft Defender e a equipe de pesquisa de segurança do Microsoft Defender em um relatório publicado na terça-feira. A atividade, segundo a gigante da tecnologia, representa utilitários de sistema legítimos como CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack e PDFgear, provavelmente em uma tentativa de atingir usuários que possuem GPUs de alto desempenho. A ideia é focar em comprometer sistemas com maior valor de mineração do que infectar indiscriminadamente um grande número de máquinas, acrescentou.
Os objetivos da campanha não são meramente motivados financeiramente. Descobriu-se também que os agentes da ameaça estabelecem acesso remoto persistente a hosts comprometidos por meio de implantações do ScreenConnect, que poderiam então ser aproveitados para atividades subsequentes, como roubo de dados, movimentação lateral ou ransomware. A cadeia de ataque é mais deliberada do que outros esforços típicos de mineração de criptomoedas, optando estrategicamente por endpoints que ajudam a maximizar o rendimento de mineração de GPU por dispositivo comprometido. A fabricante do Windows disse que detectou e bloqueou atividades associadas à campanha.
Tudo começa quando os usuários procuram utilitários de sistema confiáveis e software de monitoramento de hardware em mecanismos de pesquisa, que revelam sites maliciosos que foram manipulados por meio de técnicas como envenenamento de otimização de mecanismo de pesquisa (SEO). As iterações subsequentes observadas em abril de 2026 indicam que os usuários estão sendo direcionados para esses sites não por meio de resultados de mecanismos de pesquisa, mas por meio de interações com ferramentas baseadas em modelo de linguagem grande (LLM). “Nesses casos, os usuários que consultavam chatbots de IA para recomendações de download de software receberam links para domínios controlados por invasores nas respostas geradas”, disse a Microsoft. “Embora esse comportamento seja baseado em padrões observados e fontes de dados correlacionadas, é consistente com técnicas emergentes de envenenamento de resultados de pesquisa de IA, representando uma extensão do envenenamento de SEO tradicional além dos mecanismos de pesquisa convencionais”.
Cada um desses sites contém um botão de download proeminente que recupera um arquivo ZIP de um subdomínio específico da campanha de gleeze[.]com, que é hospedado por uma infraestrutura associada ao Dynu, um provedor de DNS dinâmico frequentemente usado por agentes de ameaças. Mais de 150 domínios maliciosos foram identificados servindo as ferramentas maliciosas. O arquivo ZIP baixado contém um executável legítimo junto com uma DLL nociva ("autorun.dll") que é carregada quando o binário é iniciado pelo usuário. A DLL foi projetada para instalar uma segunda DLL maliciosa chamada “vcredist_x64.dll” usando “msiexec.exe”.
O arquivo é um instalador empacotado para o software ScreenConnect. Depois que o ScreenConnect é instalado, o cliente tenta continuamente estabelecer contato com um servidor controlado pelo invasor localizado em "193.42.11[.]108." A sessão do ScreenConnect serve então como um canal para um executável chamado “SimpleRunPE.exe”. O binário é responsável por estabelecer persistência no host usando chaves de execução do registro e tarefas agendadas, configurar exclusões do Microsoft Defender, executar verificações anti-análise e empregar esvaziamento de processo para iniciar o código de mineração em um binário confiável assinado pela Microsoft. Em compromissos selecionados, em vez de confiar na funcionalidade de transferência de arquivos do ScreenConnect para descartar o binário, um script do PowerShell é usado para buscar o binário de uma unidade remota, armazená-lo localmente como "vlc.exe" para passar despercebido, criar uma tarefa agendada para iniciá-lo e, em seguida, excluí-lo.
O binário vazio, por sua vez, se comunica com o servidor do invasor, transmite extensas informações do host, baixa o arquivo minerador apropriado em tempo de execução e o executa. Três programas mineradores são suportados pelo malware: gminer, lolMine r e SRBMiner-MULTI. Além disso, o binário recria os artefatos de persistência para garantir a presença contínua e reconfigura as exclusões do Defender caso sejam removidas. Ele também fica atento aos processos em execução e encerra imediatamente o minerador se algum dos seguintes processos for detectado - “Esta combinação de entrega assistida por IA, representação de software e acesso persistente destaca como os atores de ameaças estão adaptando estratégias de engenharia social e monetização ao comportamento moderno do usuário”, disse a Microsoft.
A divulgação ocorre dias depois que a Microsoft detalhou como um agente de ameaça desconhecido comprometeu um dispositivo de firewall F5 BIG-IP voltado para a Internet e abusou de relacionamentos confiáveis para migrar para um host Linux interno, destacando a exploração contínua de dispositivos de borda voltados para a Internet como pontos de acesso iniciais. O host Linux, disse a empresa, permitiu ao invasor realizar um reconhecimento abrangente e mover-se lateralmente para um servidor Atlassian Confluence vulnerável, embora as tentativas de executar código remoto por meio de falhas de segurança não corrigidas no software não tenham tido sucesso. Como forma de contornar essas restrições, diz-se que o agente da ameaça configurou um servidor FTP no host Linux inicial usando o módulo ftplib do Python para transferir uma ferramenta de verificação personalizada para o servidor Confluence e, em seguida, obteve credenciais para autenticação subsequente na infraestrutura do Windows. Isto foi seguido por ataques de retransmissão Kerberos e pela exploração do CVE-2025-33073.
“A partir daí, o agente da ameaça comprometeu um aplicativo SaaS vulnerável e aproveitou suas credenciais para conduzir ataques de autenticação no estilo de retransmissão contra o Active Directory”, afirmou. "Neste incidente, o agente da ameaça autenticou-se em um servidor Linux por SSH usando uma conta privilegiada. O agente da ameaça manteve esse nível de acesso durante toda a atividade observada sem estabelecer mecanismos de persistência explícitos, ressaltando o risco representado por identidades superprivilegiadas com direitos sudo." No início deste mês, a Microsoft também lançou luz sobre outra intrusão na qual os invasores abusaram de relacionamentos operacionais confiáveis e processos de autenticação para estabelecer acesso durável, aproveitando um provedor de serviços de TI terceirizado comprometido e ferramentas legítimas de gerenciamento de TI para orquestrar uma campanha secreta focada em acesso de longo prazo e roubo de credenciais. “Provedores de serviços terceirizados e ferramentas de gerenciamento integradas podem se tornar lacunas de fiscalização quando a visibilidade é limitada ou a validação é presumida.
Os atores da ameaça entendem isso”, disse Redmond. “Eles aproveitam componentes legítimos, caminhos de atualização confiáveis e integrações aprovadas para se ancorarem em ambientes que parecem compatíveis superficialmente.” "Os defensores devem adotar uma postura de verificação deliberada. Confiar em seus fornecedores e ferramentas, mas validar seu comportamento em seu ambiente. As organizações que operam em setores sensíveis devem assumir que os atores de ameaças com este nível de habilidade continuarão refinando o abuso de terceiros, a interceptação de credenciais e os mecanismos de persistência furtivos para manter o acesso estratégico." Aprenda estratégias práticas para detectar e defender-se contra ameaças cibernéticas além das vulnerabilidades de dia zero.
Aprenda como validar resultados de pentesting automatizados para tomar decisões de segurança precisas. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.