Advertencia sobre campañas de cryptojacking a través de chatbots de IA
Publicado el
Campaña de Cryptojacking mediante Chatbots de IA
Microsoft ha emitido una advertencia sobre una campaña activa de cryptojacking que utiliza interacciones con chatbots de inteligencia artificial (IA) para dirigir a los usuarios a sitios de descarga maliciosos. Según el informe de Microsoft Defender, esta nueva técnica de entrega amplía las estrategias de ingeniería social, aumentando la visibilidad de recomendaciones de software malicioso.
Los atacantes simulan programas de utilidad legítimos como CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack y PDFgear, con el objetivo de atraer a usuarios que poseen GPU de alto rendimiento. Esta estrategia busca comprometer sistemas que ofrezcan un mayor valor de minería, en lugar de infectar indiscriminadamente un gran número de dispositivos.
Los objetivos de esta campaña no son únicamente económicos. Se ha observado que los actores de la amenaza establecen acceso remoto persistente a los sistemas comprometidos a través de ScreenConnect, lo que puede aprovecharse para actividades posteriores como el robo de datos, movimiento lateral o ransomware.
Método de Ataque
Microsoft ha detectado y bloqueado la actividad relacionada con esta campaña. El ataque comienza cuando los usuarios buscan herramientas de sistema y software de monitorización de hardware en motores de búsqueda. Estos motores pueden devolver sitios maliciosos optimizados mediante técnicas de SEO poisoning. Sin embargo, versiones más recientes indican que los usuarios son redirigidos a estos sitios no solo a través de resultados de búsqueda, sino también mediante interacciones con herramientas basadas en modelos de lenguaje (LLM).
Cuando los usuarios consultan a chatbots de IA sobre recomendaciones de descargas, se les presentan enlaces a dominios controlados por atacantes. Microsoft ha destacado que este comportamiento se alinea con las técnicas emergentes de poisoning en los resultados de búsqueda de IA, ampliando así las tácticas de SEO más allá de los motores de búsqueda convencionales.
Cada uno de estos sitios maliciosos incluye un botón prominente de descarga que recupera un archivo ZIP de un subdominio específico de gleeze[.]com, que está alojado en una infraestructura asociada con Dynu, un proveedor de DNS dinámico frecuentemente utilizado por actores maliciosos. Se han identificado más de 150 dominios maliciosos sirviendo estas herramientas.
El archivo ZIP descargado contiene un ejecutable legítimo junto con una DLL maliciosa (