Das hier ist ein vollständig KI generierter Artikel.

Eine aktuelle Kryptomining-Kampagne zeigt, wie geschickt Angreifer heute Suchmaschinenoptimierung (SEO) und KI-Chatbots kombinieren, um leistungsstarke Windows-Systeme mit GPU-Mining-Malware zu infizieren. Im Visier stehen vor allem Nutzerinnen und Nutzer, die nach populären System-Tools suchen und dabei auf manipulierte Download-Seiten gelockt werden.

Angriffsweg: Von der Suche zum infizierten Download

Ausgangspunkt der Kampagne sind Suchanfragen nach bekannten Hilfsprogrammen wie CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack oder PDFgear. Über SEO-Poisoning bringen die Angreifer eigene, präparierte Download-Seiten in den Suchergebnissen nach oben. Ergänzend berichten Betroffene, dass ihnen in Antworten von KI-Chatbots Links zu denselben, angreiferkontrollierten Domains empfohlen wurden.

Die Opfer laden dort ZIP-Archive herunter, die sowohl die legitime Software als auch eine bösartige DLL enthalten. Beim Start des vermeintlich harmlosen Programms wird die DLL automatisch mitgeladen und führt den eigentlichen Angriffscode aus.

ScreenConnect als persistenter Fernzugang

Die schädliche DLL nutzt den Windows-Installer msiexec.exe, um ein Paket mit der Remote-Management-Software ScreenConnect (heute ConnectWise Control) zu installieren. Dabei handelt es sich um ein legitimes Werkzeug, das hier zweckentfremdet wird, um den dauerhaften Fernzugriff auf das kompromittierte System zu sichern.

Nach erfolgreicher Verbindung über ScreenConnect legt der Angreifer ein weiteres Binary mit dem Namen SimpleRunPE.exe ab, das sich als RuntimeHost.exe in einem versteckten Ordner kopiert. Dieses Programm richtet insgesamt sechs Persistenzmechanismen über verschiedene Autostart-Pfade von Windows ein, um auch nach Neustarts aktiv zu bleiben. In manchen Fällen wird die Datei über ein bösartiges PowerShell-Skript als vlc.exe abgelegt, um sich als bekannter Mediaplayer zu tarnen.

Process Hollowing und Verteidigungsumgehung

Analysen deuten darauf hin, dass SimpleRunPE.exe auf einem öffentlich verfügbaren Proof-of-Concept zu Process Hollowing basiert. Bei dieser Technik wird ein legitimer Prozess gestartet und sein Speicherbereich anschliessend mit Schadcode überschrieben, sodass der Code im Kontext einer vertrauenswürdigen Anwendung läuft.

Die Angreifer wählen dafür signierte .NET-Binaries von Microsoft, etwa InstallUtil.exe, RegAsm.exe, RegSvcs.exe, MSBuild.exe, AppLaunch.exe, AddInProcess.exe oder aspnet_compiler.exe. So soll die Erkennung durch Sicherheitslösungen erschwert werden. Zusätzlich trägt der Schadcode seinen Pfad und Prozessnamen in die Ausschlussliste von Microsoft Defender ein, um Scans zu umgehen.

Vor der eigentlichen Ausführung prüft die Malware, ob sie in einer virtuellen Maschine läuft oder ob Analysewerkzeuge aktiv sind. Dazu werden unter anderem rund 40 Prozessnamen bekannter Security- und Analyse-Tools abgeglichen. Werden solche Indikatoren gefunden, beendet sich die Malware selbst, um einer Untersuchung zu entgehen.

GPU-Mining statt Masseninfektion

Erst nach erfolgreichem Process Hollowing lädt der Schadcode einen von drei Mining-Modulen nach: gminer, lolMiner oder SRBMiner-MULTI. Alle drei sind auf das Mining mit Grafikkarten (GPUs) ausgelegt. Anstatt auf möglichst viele Opfer zu setzen, zielt die Kampagne auf wenige, dafür besonders leistungsfähige Systeme ab, um die Ausbeute pro infiziertem Gerät zu maximieren.

Die Wahl typischer Tools für Enthusiasten und Power-User ist dabei kein Zufall: Wer solche Software sucht, verfügt oft über starke Gaming- oder Workstation-Hardware mit potenziell hoher Mining-Leistung. Für die Betroffenen bedeutet das neben einem erhöhten Stromverbrauch auch spürbare Performance-Einbussen und verkürzte Hardware-Lebensdauer.

Risikofaktor KI-Empfehlungen und SEO-Poisoning

Besonders brisant ist, dass neben klassischen Suchergebnissen auch KI-gestützte Assistenten als Einfallstor dienen. Wenn Chatbots auf Basis manipulierter oder unzureichend geprüfter Quellen Download-Links empfehlen, können Nutzerinnen und Nutzer in falscher Sicherheit handeln. Die Kombination aus SEO-Poisoning und KI-Empfehlungen erhöht die Glaubwürdigkeit der schädlichen Seiten und senkt die Hemmschwelle zum Klick.

Für Betreiber von KI-Diensten entsteht damit eine zusätzliche Verantwortung: Empfehlungsmechanismen müssen so gestaltet sein, dass bekannte bösartige Domains ausgeschlossen und Download-Quellen regelmässig validiert werden. Gleichzeitig sollten Nutzer sich nicht allein auf KI-Antworten verlassen, sondern Download-URLs kritisch prüfen.

Empfehlungen für Unternehmen und Privatanwender

  • Downloads nur von Herstellerseiten: Software möglichst direkt von der offiziellen Projekt- oder Herstellerseite beziehen, nicht von Drittportalen.
  • Domain genau prüfen: Auf Schreibfehler, ungewöhnliche Subdomains und fehlende HTTPS-Verschlüsselung achten.
  • Security-Lösungen aktuell halten: Endpoint-Schutz, EDR und Betriebssysteme regelmässig patchen und Signaturen aktualisieren.
  • PowerShell und Remote-Tools härten: Einsatz von PowerShell einschränken, Logging aktivieren und Remote-Management-Tools inventarisieren und überwachen.
  • GPU- und CPU-Auslastung monitoren: Ungewöhnlich hohe Auslastung ohne ersichtlichen Grund kann auf Kryptomining hindeuten.
  • Indikatoren des Herstellers nutzen: Von Sicherheitsanbietern veröffentlichte IoCs (Domains, Hashes, Pfade) in eigene Monitoring- und Blocklisten integrieren.

Fazit

Die beschriebene Kampagne verdeutlicht, wie professionell Kryptomining-Angriffe inzwischen orchestriert werden: von der gezielten Opferauswahl über SEO-Manipulation und KI-Empfehlungen bis hin zu ausgefeilten Persistenz- und Tarnmechanismen. Wer leistungsfähige Systeme betreibt, sollte Download-Quellen besonders sorgfältig prüfen und Monitoring für ungewöhnliche Ressourcennutzung etablieren. KI-gestützte Assistenten können die Suche nach Software erleichtern, ersetzen aber nicht die eigene Sicherheitsprüfung.

Quelle: https://www.bleepingcomputer.com/news/security/gpu-mining-malware-spreads-via-seo-poisoning-ai-chatbots/