Что изменилось#
Microsoft описала активную кампанию криптоджекинга, где злоумышленники используют отравленные поисковые результаты, фальшивые сайты для загрузки утилит, DLL sideloading и злоупотребление установками ScreenConnect, чтобы добраться до машин с более ценной графикой. Главное здесь — выбор целей. Это не массовая добыча «куда попадет»: набор приманок рассчитан на людей, у которых с большей вероятностью есть производительные ПК.
Источник: Microsoft Security Blog — https://www.microsoft.com/en-us/security/blog/2026/05/26/poisoned-search-results-gpu-mining-cryptojacking-campaign-abusing-screenconnect-microsoft-net-utilities/
Microsoft Defender Experts сообщили о кампании, где вредоносные сайты загрузки появлялись через классическое отравление поисковой выдачи и, судя по наблюдаемым признакам, через взаимодействия с AI-чатботами.
Кампания маскируется под популярные системные и аппаратные утилиты: CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack и PDFgear. Такой выбор важен. Часть этих инструментов используют сборщики ПК, геймеры, специалисты по диагностике и пользователи, которые возятся с железом. У них чаще встречаются дискретные GPU, на которых выгоднее майнить.
Цепочка начинается с того, что пользователь ищет доверенную утилиту. Подкрученный результат поиска — а в некоторых наблюдавшихся случаях рекомендация, сгенерированная чатботом, — ведет на похожий домен под контролем атакующих. На фальшивом сайте есть кнопка загрузки. Она скачивает ZIP-архив с поддомена gleeze.com, выделенного под кампанию. По словам Microsoft, этот ресурс размещен на инфраструктуре, связанной с Dynu, провайдером dynamic DNS, которым часто злоупотребляют злоумышленники.
Microsoft сообщает, что с марта 2026 года выявила более 150 вредоносных доменов, которые, по ее оценке, раздают в этой кампании замаскированные утилиты.
Цепочка загрузки достаточно проста, чтобы быть опасной. В ZIP лежит легитимный исполняемый файл подделываемой утилиты и вредоносная DLL с именем autorun.dll. Когда пользователь запускает настоящий исполняемый файл, программа подгружает DLL из той же папки через DLL sideloading. Эксплойт не нужен. При этом пользователь может увидеть, что ожидаемое приложение действительно открылось, и меньше заподозрить неладное.
Microsoft нашла в кампании девять разных вариантов autorun.dll. Затем вредоносная DLL использует msiexec.exe, чтобы тихо установить другую DLL — vcredist_x64.dll. Имя выбрано так, чтобы файл выглядел как компонент Visual C++ Redistributable. На деле это упакованный установщик ScreenConnect, также известного как ConnectWise Control.
ScreenConnect — легитимный продукт для удаленного администрирования. Проблема не в уязвимости продукта, а в злоупотреблении им. В этой кампании атакующий использует его, чтобы получить устойчивый удаленный доступ.
Почему здесь важен именно отравленный поиск#
Отравленный поиск давно удобен для доставки вредоносного ПО: он ловит пользователя ровно в момент, когда тот собирается что-то установить. В этой кампании модель стала точнее. Злоумышленник не просто пытается продвинуться по общим запросам на скачивание. Приманки привязаны к аппаратной ценности цели.
Фальшивая загрузка FurMark или Display Driver Uninstaller — не случайный выбор. Эти названия привлекают пользователей, которые настраивают, тестируют или чинят системы с мощными GPU. Если цель — майнинг, такая аудитория лучше случайного офисного компьютера.
Шаг со ScreenConnect тоже меняет риск. Один криптомайнер шумный и экономически ограниченный. Устойчивый удаленный доступ дает оператору больше вариантов. Microsoft отмечает, что такой доступ позже может использоваться для кражи данных, lateral movement или ransomware-активности. Это не значит, что каждый зараженный хост обязательно столкнется с такими последствиями. Но защитникам не стоит рассматривать инцидент только как кражу вычислительных ресурсов.
К части про AI-чатботы нужно относиться аккуратно. Microsoft говорит об отчетах и связанной телеметрии, которые указывают, что пользователей могли направлять на вредоносные домены через инструменты на базе LLM. В метаданных VirusTotal упоминались взаимодействия с чатботами как возможный контекст перехода. При этом Microsoft уточняет: пример иллюстративный и не указывает на системную проблему конкретного AI-сервиса.
Эта оговорка важна. Безопасный вывод уже: злоумышленники проверяют тот же разрыв доверия в AI-ответах, который давно используют в поисковой выдаче. Если инструмент рекомендует ссылку на загрузку без строгой проверки источника, пользователь может воспринять ее как более безопасную, чем она есть на самом деле.
Что проверить в эксплуатации#
Для команд безопасности полезные проверки здесь вполне практичны. Цепочка оставляет несколько мест, где можно искать следы.
Проверьте недавние загрузки и пути запуска на ZIP-архивы, где рядом с легитимным исполняемым файлом утилиты лежит autorun.dll. DLL sideloading часто прячется за нормальными на вид родительскими процессами. Наличие настоящего инструмента вендора не очищает событие.
Ищите тихую активность установщика с участием msiexec.exe, особенно если она следует за запуском из пользовательской папки загрузок или распакованного архива. Microsoft прямо называет vcredist_x64.dll частью этой цепочки; имя имитирует компонент Microsoft redistributable.
Проверьте установки ScreenConnect или ConnectWise Control. У легитимного инструмента удаленного управления должны быть понятный владелец, тикет, путь развертывания и бизнес-причина. Неизвестные установки или установки из пользовательского контекста требуют приоритета. Само присутствие продукта не доказывает компрометацию, но неуправляемый удаленный доступ — никогда не мелкая находка.
Следите за DNS и веб-трафиком к недавно созданным похожим доменам, связанным с популярными утилитами. Microsoft называет поддомены gleeze.com, выделенные под кампанию, и отмечает связь инфраструктуры родительского домена с Dynu. Dynamic DNS сам по себе не вредоносен, но это полезный сигнал в сочетании с фальшивыми потоками загрузки.
Для политики на конечных устройствах Microsoft рекомендует включить облачную защиту, запускать EDR в режиме блокировки и включить правила attack surface reduction. Эти меры подходят к кампании, потому что атака зависит от скачанных payload, подозрительного поведения дочерних процессов и тихих установок.
Для пользователей и небольших команд правило грубое, но рабочее: не скачивайте системные утилиты из поисковой рекламы, случайных зеркал или ссылок, которые дал AI, пока не проверите настоящий сайт издателя. Где возможно, переходите с известного домена вендора, проверенного репозитория проекта или доверенного источника пакетов. Поиск — инструмент обнаружения, а не якорь доверия.
Здесь же важны привычки безопасности open source. Более безопасный путь — не лозунг «open source», а проверка источника, reproducible или доверенные сборки там, где они доступны, подписанные релизы, известные мейнтейнеры и канал распространения с ответственностью. Подробнее об таком операционном подходе GigaTap писал в заметке о том, как делать security artifacts полезными на практике: https://gigatap.top/en/articles/openssfs-april-signal-make-security-artifacts-operational
Чего не стоит утверждать сверх фактов#
Этот отчет не доказывает, что все AI-чатботы массово отравляют рекомендации по софту. Формулировки Microsoft сдержанные. Компания указывает на наблюдаемые паттерны, коррелирующие данные и примеры, совместимые с отравлением результатов AI-поиска. Этого достаточно, чтобы повысить операционную осторожность, но недостаточно для широких обвинений в адрес одного AI-сервиса.
Отчет также не означает, что CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack, PDFgear, ScreenConnect или ConnectWise сами по себе вредоносны. Кампания злоупотребляет доверенными названиями и легитимным поведением ПО. Для реагирования это важное различие. Если заблокировать не то, можно сломать рабочие процессы и при этом пропустить путь, контролируемый атакующим.
Самый надежно подтвержденный вывод: поиск и выбор места загрузки ПО стали частью поверхности атаки. Поисковую выдачу можно отравить. Сгенерированные ответы могут подсунуть небезопасные ссылки. Легитимные утилиты можно упаковать с вредоносными DLL. Инструменты удаленного управления могут превратить майнинговый инцидент в проблему устойчивого доступа.
Относитесь к происхождению загрузки как к средству защиты, а не как к пользовательскому предпочтению. Именно это операционное изменение эта кампания делает трудно игнорируемым.