Campanha de mineração ilícita usa recomendações de chatbots de IA para distribuir malware

Operação direciona usuários que procuram utilitários de sistema para sites falsos, instala ScreenConnect, mantém persistência e executa mineradores em máquinas com maior valor computacional.

Componente	Sites falsos de download que imitam utilitários como CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack e PDFgear, com carga para Windows baseada em DLL sideloading, ScreenConnect e mineradores.
Vetor	Usuários que buscam recomendações de download em mecanismos de busca ou chatbots de IA recebem links para domínios controlados por atacantes; o download entrega um arquivo ZIP com executável legítimo e DLL maliciosa.
Impacto	Instalação de acesso remoto persistente, exclusões no Microsoft Defender, persistência por chaves Run e tarefas agendadas, process hollowing e execução de mineradores como gminer, lolMiner e SRBMiner-MULTI.
Prioridade	Bloquear domínios de distribuição, investigar instalações não autorizadas de ScreenConnect, revisar exclusões no Defender, caçar sideloading de `autorun.dll` e conter hosts com comunicação para infraestrutura defangada da campanha.
Artefatos	`autorun.dll`, `vcredist_x64.dll`, `SimpleRunPE.exe`, `vlc.exe`, subdomínios associados a gleeze[.]com e servidor defangado 193.42.11[.]108.
IoCs	Mais de 150 domínios maliciosos foram identificados servindo ferramentas falsas; o contexto cita gleeze[.]com como domínio de distribuição e 193.42.11[.]108 como servidor contatado pelo cliente ScreenConnect.

Resumo técnico

Uma campanha ativa de cryptojacking passou a usar recomendações geradas por chatbots de IA como ponto de exposição para sites de download controlados por atacantes. O fluxo mira usuários que procuram utilitários legítimos de sistema, diagnóstico de hardware, codecs, limpeza de drivers e ferramentas de PDF. Em vez de depender apenas de resultados manipulados em mecanismos de busca, a operação também aparece em interações com ferramentas baseadas em grandes modelos de linguagem, nas quais links para domínios maliciosos são apresentados como possíveis locais de download. O dado relevante para defesa é que a engenharia social se desloca para uma superfície em que muitos usuários esperam respostas sintetizadas e menos verificam a procedência do domínio final.

A operação não se limita a instalar mineradores. A cadeia observada usa software de acesso remoto ScreenConnect para manter uma sessão com infraestrutura controlada pelo operador, e essa etapa cria uma posição mais durável no host comprometido. A mineração de criptomoedas continua sendo o objetivo operacional mais visível, mas o acesso remoto persistente aumenta o risco condicionado de ações posteriores. O contexto confirma a instalação do ScreenConnect, o uso de persistência, alterações em exclusões do Microsoft Defender, técnicas anti-análise e execução de código de mineração por process hollowing sob um binário assinado pela Microsoft. Não há confirmação de vazamento de dados, ransomware executado ou movimentação lateral decorrente desta campanha específica, portanto esses cenários devem ser tratados como risco derivado do acesso remoto, não como impacto comprovado.

Fluxo técnico

A cadeia começa quando o usuário procura utilitários conhecidos, como CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack e PDFgear. A escolha desses nomes indica uma tentativa de alcançar sistemas com placas gráficas ou uso intensivo de hardware, o que aumenta o retorno esperado da mineração por máquina comprometida. O tráfego inicial leva a sites de download que apresentam um botão destacado e entregam um arquivo ZIP obtido a partir de subdomínios específicos da campanha associados a gleeze[.]com, hospedados em infraestrutura vinculada à Dynu, provedora de DNS dinâmico frequentemente abusada por operadores maliciosos.

O ZIP contém um executável legítimo junto de uma DLL maliciosa chamada autorun.dll. Quando o usuário inicia o binário legítimo, ocorre sideloading da DLL fraudulenta. Essa DLL instala uma segunda DLL, vcredist_x64.dll, por meio de um instalador empacotado que implanta ScreenConnect. Após a instalação, o cliente tenta estabelecer contato contínuo com o servidor defangado 193.42.11[.]108. A sessão de acesso remoto é usada como canal para introduzir SimpleRunPE.exe, componente responsável por consolidar a presença no sistema.

O SimpleRunPE.exe cria mecanismos de persistência em chaves Run do Registro e tarefas agendadas, configura exclusões no Microsoft Defender, executa verificações anti-análise e usa process hollowing para lançar o código de mineração dentro de um processo associado a um binário confiável assinado pela Microsoft. Em alguns comprometimentos, em vez de depender da transferência de arquivos do ScreenConnect, a cadeia usa um script PowerShell para buscar o executável de um drive remoto, armazená-lo localmente como vlc.exe, criar uma tarefa agendada para execução e remover o próprio script. O comando operacional não deve ser reproduzido; para defesa, o ponto central é observar download remoto seguido de mascaramento por nome de aplicativo legítimo e criação de tarefa agendada.

O binário injetado se comunica com o servidor do atacante, envia informações extensas do host, baixa em tempo de execução o arquivo de mineração adequado e executa uma das três opções suportadas: gminer, lolMiner ou SRBMiner-MULTI. A amostra também recria artefatos de persistência e reconfigura exclusões do Defender caso sejam removidos, o que indica tentativa de resistência à limpeza parcial. A presença de lógica para encerrar o minerador quando determinados processos são detectados também sugere preocupação com análise, ferramentas de segurança ou situações que possam expor atividade anômala no endpoint.

Superfície afetada

A superfície de exposição principal envolve estáções Windows cujos usuários instalam manualmente utilitários obtidos fora de canais oficiais. Sistemas com GPUs de maior desempenho têm valor superior para a campanha, pois ampliam o rendimento de mineração por host. A técnica também afeta fluxos de suporte técnico, manutenção doméstica, estáções de criadores, máquinas usadas para jogos, workstations de engenharia e ambientes corporativos em que usuários ainda têm permissão para baixar e executar ferramentas auxiliares sem validação forte de origem.

A novidade operacional está no caminho de descoberta do site malicioso. A campanha já se apoia em manipulação de visibilidade por SEO, mas iterações observadas em abril de 2026 indicam redirecionamento a partir de respostas de chatbots de IA. O contexto descreve esse comportamento como baseado em padrões observados e fontes correlacionadas, compatível com envenenamento de resultados em mecanismos de busca assistidos por IA. Para equipes defensivas, isso significa que bloqueios baseados apenas em campanhas tradicionais de malvertising ou resultados patrocinados não cobrem toda a jornada do usuário até o download.

Usuários que procuram instaladores de utilitários de sistema, monitoramento de hardware, codecs, desinstalação de drivers e ferramentas de PDF.
Hosts Windows em que execução manual de arquivos ZIP baixados da internet não passa por controle de aplicação, reputação de arquivo ou validação de editor.
Ambientes em que ScreenConnect é permitido sem inventário centralizado, sem lista de instâncias autorizadas e sem alerta para servidores externos não aprovados.
Endpoints com políticas fracas para criação de tarefas agendadas, alteração de chaves Run e criação de exclusões no Microsoft Defender por processos não administrativos esperados.

Hunting e telemetria

A investigação deve começar pela correlação entre navegação para domínios recém-observados de download, obtenção de ZIPs e execução posterior de binários legítimos a partir de diretórios de usuário ou temporários acompanhados por DLLs incomuns. O sideloading de autorun.dll junto a um executável conhecido é um sinal de alto valor, especialmente quando seguido por instalação de ScreenConnect sem registro de solicitação de suporte ou ticket interno. A telemetria de proxy, DNS, EDR e Windows deve ser unificada para reconstruir a sequência: consulta de software, acesso a domínio de distribuição, extração de ZIP, execução local, criação de persistência e conexão remota.

Também é importante diferenciar uso legítimo de ScreenConnect de implantação hostil. O indicador mais forte não é o produto em si, mas a combinação de instalação inesperada, servidor externo não reconhecido, origem em pacote de utilitário falso e execução subsequente de SimpleRunPE.exe ou arquivo renomeado como vlc.exe. Em endpoints com Defender, alterações recentes em exclusões devem ser revisadas com prioridade, principalmente quando aparecem próximas a tarefas agendadas novas, chaves Run alteradas e processos que iniciam mineradores ou alto consumo de GPU sem justificativa operacional.

Consultas DNS e HTTP para subdomínios associados a gleeze[.]com e comunicação para 193.42.11[.]108, sempre mantendo indicadores defangados em relatórios e regras internas.
Execução de instaladores ou utilitários legítimos a partir de arquivos ZIP baixados, com carregamento de autorun.dll no mesmo diretório.
Criação ou alteração de vcredist_x64.dll, SimpleRunPE.exe ou vlc.exe em caminhos de usuário, temporários ou diretórios não padronizados para software corporativo.
Instalação de ScreenConnect sem origem administrativa conhecida, seguida de conexões persistentes para servidor externo fora da infraestrutura aprovada.
Novas chaves Run, tarefas agendadas e exclusões do Microsoft Defender criadas na mesma janela temporal do download do utilitário falso.
Sinais de mineração, incluindo execução de gminer, lolMiner ou SRBMiner-MULTI, picos de uso de GPU e comunicação de runtime para obtenção de arquivo minerador.

Mitigação

A resposta deve priorizar contenção de endpoints com acesso remoto não autorizado antes de remover apenas o minerador. Encerrar o processo de mineração sem tratar ScreenConnect, tarefas agendadas, chaves Run e exclusões do Defender deixa o operador com caminho para reinstalação. Em hosts suspeitos, a equipe deve isolar a máquina, coletar telemetria de processo, rede, Registro, tarefas agendadas e instalação de software, identificar a origem do ZIP e validar se houve instalação de ScreenConnect aprovada. Qualquer instância não reconhecida deve ser removida conforme o procedimento interno, com rotação de credenciais locais se houver evidência de acesso interativo ou execução remota.

A prevenção precisa reduzir a confiança implícita em recomendações de download, inclusive quando elas vêm de ferramentas de IA. Usuários e áreas de suporte devem ser direcionados a repositórios internos, páginas oficiais validadas e catálogos corporativos de software. Controles de aplicação, reputação de arquivo, bloqueio de execução em diretórios temporários e regras para impedir DLL sideloading a partir de pacotes não confiáveis reduzem a chance de execução inicial. Para organizações que usam ScreenConnect legitimamente, o inventário de servidores, chaves, nomes de instância e padrões de conexão deve ser formalizado para que implantações falsas se destaquem na telemetria.

Após a limpeza, a validação deve confirmar que não restaram exclusões indevidas no Defender, persistência por Registro, tarefas agendadas ou binários renomeados. A equipe também deve revisar logs de navegação e DNS para mapear outros usuários que acessaram os mesmos domínios, mesmo que não tenham executado o ZIP. Como mais de 150 domínios foram associados à distribuição, a defesa deve trabalhar com classes de indicador, reputação, idade de domínio, padrões de hospedagem e comportamento de download, em vez de depender de uma lista curta e estática.

Bloquear domínios de distribuição identificados, incluindo padrões associados a gleeze[.]com, e registrar tentativas de acesso para busca retroativa.
Inventariar ScreenConnect autorizado e alertar qualquer instalação ou conexão para servidor externo que não pertença à organização ou ao provedor contratado.
Revisar e remover exclusões anômalas do Microsoft Defender, verificando qual processo ou usuário realizou a alteração.
Caçar autorun.dll, vcredist_x64.dll, SimpleRunPE.exe e vlc.exe em diretórios incompatíveis com instalação corporativa legítima.
Aplicar controles de aplicação para bloquear execução de binários e DLLs a partir de ZIPs extraídos em caminhos de usuário quando não houver aprovação explícita.
Orientar equipes de suporte e usuários privilegiados a obter utilitários somente de canais oficiais ou repositórios internos validados, sem confiar automaticamente em links apresentados por chatbots de IA.

Campanha de mineração ilícita usa recomendações de chatbots de IA para distribuir malware

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

Campanha de mineração ilícita usa recomendações de chatbots de IA para distribuir malware

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato