GPU mining malware spreads via SEO poisoning, AI chatbots

1 minute de lecture

Mis à jour : May 28, 2026

Campagne de cryptominage par empoisonnement SEO et IA

Des cybercriminels exploitent l’empoisonnement SEO et les recommandations des agents conversationnels (IA) pour diffuser des logiciels malveillants de cryptominage ciblant les systèmes équipés de GPU puissants.

Points clés :

Vecteur d’attaque : Les utilisateurs cherchant des utilitaires populaires (ex: HWMonitor, FurMark, CrystalDiskInfo) sont redirigés vers des sites malveillants via des résultats de recherche manipulés ou des liens suggérés par des chatbots IA.
Mécanisme d’infection : Les archives téléchargées contiennent le logiciel légitime accompagné d’une DLL malveillante qui installe l’outil de gestion à distance ScreenConnect pour maintenir un accès persistant.
Techniques d’évasion :
- Utilisation de la technique de process hollowing pour injecter du code dans des binaires Microsoft légitimes (ex: MSBuild.exe, RegAsm.exe).
- Ajout d’exclusions dans Microsoft Defender pour éviter la détection.
- Détection active des machines virtuelles et des outils d’analyse pour interrompre l’exécution si nécessaire.
- Dissimulation sous le nom de processus RuntimeHost.exe ou vlc.exe.
Objectif : Déploiement de mineurs de cryptomonnaies (gminer, lolMiner, SRBMiner-MULTI) optimisés pour maximiser la rentabilité par machine infectée.

Vulnérabilités :

Aucune CVE spécifique n’est mentionnée ; l’attaque repose sur l’abus de fonctionnalités système légitimes (ScreenConnect, binaires signés Microsoft, PowerShell) et sur l’ingénierie sociale.

Recommandations :

Vigilance accrue : Téléchargez uniquement les logiciels depuis les sites officiels des éditeurs et méfiez-vous des liens suggérés par les outils d’IA.
Surveillance des terminaux : Surveillez l’installation inattendue de ScreenConnect ou l’apparition de processus suspects comme RuntimeHost.exe.
Analyse des journaux : Vérifiez les exclusions ajoutées dans Microsoft Defender et surveillez les exécutions inhabituelles de scripts PowerShell ou de binaires système (MSBuild.exe, RegAsm.exe) émanant de répertoires non standard.
Mise en place d’indicateurs : Utiliser les indicateurs de compromission (IoC) fournis dans le rapport technique de Microsoft pour filtrer le trafic vers les domaines malveillants connus (ex: gleeze.com).

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

GPU mining malware spreads via SEO poisoning, AI chatbots

Campagne de cryptominage par empoisonnement SEO et IA

Partager sur

Vous pourriez aimer

PAN-OS GlobalProtect Authentication Bypass (CVE-2026-0257) Under Active Exploitation

Exploitation active de la faille d’authentification GlobalProtect (PAN-OS)

Palo Alto GlobalProtect VPN auth bypass flaw now exploited in attacks

Exploitation active de la faille critique dans Palo Alto GlobalProtect

New CIFSwitch Linux flaw gives root on multiple distributions

Vulnérabilité CIFSwitch : Élévation de privilèges dans le noyau Linux

Friday Squid Blogging: Another Squid

Veille de sécurité : Persistance et compromission au niveau du BIOS