Un nuovo tipo di attacco basato sul cryptojacking sta sfruttando i chatbot basati sull’intelligenza artificiale per spingere gli utenti a scaricare software infetto. Gli esperti di sicurezza di Microsoft hanno individuato questa campagna, che oltre alla classica tecnica del SEO poisoning punta su qualcosa di più subdolo: i consigli forniti dagli assistenti virtuali. E come se non bastasse, i criminali informatici riescono pure a stabilire un accesso remoto persistente sui dispositivi colpiti, aprendo la strada al furto di dati o all’installazione di ransomware.
Il principio dietro al cryptojacking è semplice quanto fastidioso. L’obiettivo è usare le risorse del computer della vittima, soprattutto la GPU, per il mining di criptovalute, naturalmente senza che nessuno se ne accorga. Per arrivare al bersaglio, i cybercriminali contano molto sul SEO poisoning, una manipolazione dei risultati dei motori di ricerca che porta gli utenti dove vogliono loro.
Basta cercare tool molto popolari, roba che usano in tanti come CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack o PDFgear, per ritrovarsi su siti fasulli costruiti per somigliare il più possibile a quelli veri. La novità, però, sta altrove. In alcuni casi quei link compaiono direttamente nelle risposte dei chatbot AI, segno che l’avvelenamento dei risultati si è ormai allargato anche agli LLM, i grandi modelli linguistici. Microsoft ha contato oltre 150 domini coinvolti in questa storia.
Cliccando sul pulsante di download parte il viaggio. Si scarica un archivio ZIP che, almeno in apparenza, contiene l’eseguibile legittimo del programma cercato. Insieme, però, viaggia anche una DLL chiamata autorun.dll. Quando l’utente avvia il file, quella DLL viene caricata in memoria attraverso la tecnica del DLL sideloading e scarica una seconda libreria che in realtà è l’installer di SmartConnect, uno strumento di accesso remoto del tutto legittimo ma piegato agli scopi degli aggressori.
Da lì in poi le cose si complicano. Il tool viene usato per copiare in una cartella nascosta il file SimpleRunPE.exe, camuffato sotto il nome RuntimeHost.exe. Il malware non si accontenta di restare lì: piazza ben sei meccanismi di persistenza, ovvero tre attività pianificate, due chiavi di registro e un collegamento nella cartella di esecuzione automatica. Insomma, fa di tutto per non farsi sloggiare.
Sfruttando poi la tecnica del process hollowing, il malware si infila dentro alcune utility di Windows e gira mascherato da processo legittimo. A quel punto vengono scaricati i miner di criptovalute che spremono la GPU, e le monete digitali estratte finiscono ovviamente nel portafoglio dei cybercriminali. La buona notizia è che Microsoft Defender è in grado di rilevare e bloccare questi attacchi di cryptojacking.