AI chatbot avvelenati: nuovo vettore per il cryptojacking GPU

Microsoft ha identificato una campagna che usa le raccomandazioni dei chatbot AI per distribuire malware miner GPU, abusando ScreenConnect e utility .NET firma…

Contenuto

AI chatbot avvelenati: nuovo vettore per il cryptojacking GPU
AI chatbot avvelenati: nuovo vettore per il cryptojacking GPU

Microsoft ha reso pubblica il 26 maggio 2026 una campagna cryptojacking attiva che impiega le raccomandazioni generate da chatbot AI come vettore iniziale di infezione. Gli attori della minaccia non attaccano le piattaforme conversazionali: li manipolano attraverso tecniche di poisoning dei risultati di ricerca AI, estendendo lo SEO poisoning tradizionale a un nuovo layer di fiducia implicita. L'obiettivo è selezionato — sistemi con GPU high-performance — e l'infrastruttura di compromissione mantiene persistenza multipla, anti-analisi e auto-riparazione.

Punti chiave
  • Gli utenti che interrogavano chatbot AI per raccomandazioni software a partire da aprile 2026 ricevevano link a domini controllati dagli attaccanti nelle risposte generate
  • La campagna impersona utility legittime — CrystalDiskInfo, HWMonitor, FurMark, Display Driver Uninstaller, K-Lite Codec Pack, PDFgear — per attrarre utenti con GPU discrete
  • L'installazione avviene tramite DLL sideloading in eseguibili legittimi, seguito da deployment di ScreenConnect per accesso remoto persistente e process hollowing in binari Microsoft-signed
  • Sei meccanismi di persistenza implementati, con auto-riparazione delle esclusioni Microsoft Defender: tre scheduled tasks, due registry Run keys, una shortcut nella cartella Startup

Come il chatbot diventa il burattinaio: dal poisoning ai domini malevoli

Il vettore di ingresso rappresenta l'evoluzione più significativa della campagna. Secondo Microsoft, «gli utenti che interrogavano chatbot AI per raccomandazioni di download software ricevevano link a domini controllati dagli attaccanti all'interno delle risposte generate». Questo pattern, documentato da telemetry di Microsoft Defender e corroborato da metadata VirusTotal che indicano contesto di referral da interazione chatbot, sposta la superficie di attacco dalle SERP tradizionali alle interfacce conversazionali.

La campagna sfrutta oltre 150 domini malevoli ospitati su infrastruttura Dynu, secondo i dati Microsoft. La distribuzione avviene attraverso archivi ZIP che contengono un eseguibile legittimo abbinato a una DLL rogue denominata 'autorun.dll'. Al lancio dell'eseguibile, il sideloading della DLL attiva la catena di compromissione senza richiedere exploit di vulnerabilità software. Microsoft ha identificato nove varianti distinte di autorun.dll nella campagna, indicando sviluppo attivo e testing di evasione.

«This emerging delivery technique extends social engineering beyond conventional search results and increases the visibility of malicious software recommendations» — Microsoft Defender Experts and Microsoft Defender Security Research Team

ScreenConnect e .NET: l'infrastruttura di persistenza dietro il mining

Una volta eseguito il sideloading, la DLL installa 'vcredist_x64.dll' — in realtà un installer packaging di ScreenConnect — tramite msiexec.exe. Il client ScreenConnect contatta il server 193.42.11[.]108 con parametro di servizio h=directdownload.icu. Questo passaggio stabilisce accesso remoto persistente oltre al mining, con potenziale utilizzo futuro per data theft, lateral movement o deployment ransomware, come segnalato da Microsoft.

Il payload miner viene invece attivato attraverso SimpleRunPE.exe, un tool di process hollowing il cui percorso PDB embeddato — G:\My Drive\works\test projects\Simple-RunPE-Process-Hollowing-RUNPE\SimpleRunPE\obj\Release\SimpleRunPE.pdb — corrisponde al repository GitHub pubblico Watermwo/Simple-RunPE-Process-Hollowing. Il codice inietta il miner in binari Microsoft-signed: InstallUtil.exe, RegAsm.exe e MSBuild.exe, secondo l'analisi di Rescana. Questa scelta complica il rilevamento EDR, che deve distinguere tra esecuzione legittima di utility .NET e processo sostituito in memoria.

I tre programmi miner supportati — gminer, lolMiner e SRBMiner-MULTI — sono selezionati per compatibilità GPU e adattività al hardware rilevato. Il malware implementa anti-analysis terminando i processi miner se rileva Process Hacker o Process Explorer in esecuzione, e un identificatore di campagna ricorrente — D3F4E2A1 — compare sia come mutex name che nelle esclusioni Microsoft Defender, secondo Microsoft.

Sei meccanismi di persistenza e auto-riparazione attiva

La campagna si distingue per la ridondanza dei meccanismi di persistenza: tre scheduled tasks, due registry Run keys e una shortcut nella cartella Startup. Questa architettura multi-strato garantisce che la compromissione sopravviva a interventi parziali di remediation. In aggiunta, il malware «ricrea gli artefatti di persistenza» e «riconfigura le esclusioni Microsoft Defender» se rilevati o rimossi, secondo Microsoft.

Una variante alternativa documentata da Microsoft impiega PowerShell per scaricare un binario da remote drive, salvarlo come 'vlc.exe', creare una scheduled task one-time e auto-cancellarsi. Questo percorso riduce l'impronta su disco e sfida l'analisi forense post-infezione.

Rescana aggiunge un ulteriore dettaglio infrastrutturale: un canale C2 WebSocket su wss://minemine.gleeze[.]com:8443/ws, con infezioni confermate da telemetry Microsoft Defender, VirusTotal e community honeypots. La timeline di attività estesa da aprile a giugno 2026 suggerisce operatività continuativa.

Target selezionato e logica di monetizzazione

La campagna non insegue il volume di infezioni. Microsoft è esplicita: il focus è «compromettere sistemi con higher mining value», con selezione «deliberata» di PC entusiasti con GPU discrete. Le utility impersonate — CrystalDiskInfo, HWMonitor, FurMark, Display Driver Uninstaller — sono strumenti che gli utenti con hardware high-performance installano regolarmente per monitoring, stress test e manutenzione driver.

Questa logica di targeting inverte il modello cryptojacking tradizionale: invece di massimizzare il numero di endpoint compromessi, si massimizza il yield per dispositivo. Il mining GPU su hardware enthusiast — NVIDIA RTX serie 40 o 50, AMD RX 7000 — produce hash rate ordini di grandezza superiore rispetto a CPU generiche o workstation aziendali senza scheda video dedicata.

Cosa fare adesso

Le raccomandazioni derivano direttamente dai TTPs documentati da Microsoft e Rescana:

  • Verificare la provenienza dei link software anche quando raccomandati da chatbot AI: i domini della campagna impersonano nomi legittimi ma risiedono su infrastruttura Dynu con pattern di naming riconducibili
  • Monitorare l'esecuzione di msiexec.exe con parametri non documentati internamente, in particolare quando avviata da processi user-space dopo download di utility di sistema
  • Esaminare le esclusioni Microsoft Defender per presenza di pattern D3F4E2A1 o cartelle non autorizzate, e i task pianificati per attività one-time con nomi generici
  • Controllare le connessioni a IP 193.42.11[.]108 e dominio minemine.gleeze[.]com:8443 nei log proxy/firewall, con attenzione a traffico WebSocket non tipico per l'ambiente

Il salto di paradigma: quando la fiducia nell'AI diventa superficie di attacco

La campagna documentata da Microsoft non è un attacco alle infrastrutture AI. È qualcosa di più insidioso: un attacco alla fiducia che gli utenti ripongono nelle raccomandazioni generate automaticamente. Il chatbot non è compromesso tecnicamente — è inquinato a monte attraverso le stesse tecniche di SEO poisoning che avvelenano i motori di ricerca tradizionali, ma con un moltiplicatore di credibilità.

Il messaggio implicito che l'utente riceve — «il chatbot mi ha consigliato questo software» — sostituisce la valutazione critica con la delega algoritmica. Gli attori della minaccia hanno compreso che questo spostamento comportamentale, accelerato dall'adozione massiva dei LLM, apre una finestra di opportunità prima che si consolidino abitudini di verifica parallela. Microsoft ha rilevato e bloccato attività associata alla campagna, ma la struttura tecnica — sideloading, process hollowing, persistenza multipla — è riutilizzabile con altri vettori di ingresso.

Quello che resta da determinare è se le piattaforme di AI conversationale implementeranno controlli di provenienza per i link software raccomandati, o se la responsabilità di verifica continuerà a gravare sull'utente finale in un contesto di crescente complessità.

Domande frequenti

Le piattaforme chatbot sono vulnerabili o solo manipolate?

Microsoft parla di «observed patterns and correlated data sources» consistenti con tecniche emergenti di AI search result poisoning, non di vulnerabilità tecnica nelle piattaforme. Il meccanismo esatto — training data poisoning, prompt injection o altro — non è documentato nel dossier.

Perché i miner terminano se rilevano Process Hacker?

L'anti-analysis serve a prevenire l'ispezione manuale e automatizzata del processo miner in esecuzione, ritardando la scoperta e l'estrazione degli indicatori di compromissione da parte degli analisti.

ScreenConnect è stato compromesso come prodotto?

No. Il tool RMM è abusato come infrastruttura di accesso remoto, non è oggetto di vulnerabilità software nella campagna. L'installer è packaging non autorizzato, non distribuzione ufficiale.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Link utili

Apri l'articolo su DeafNews