Malware per cryptojacking suggerito dai chatbot AI
Topic
Approfondimenti
Trending
tutti

Malware per cryptojacking suggerito dai chatbot AI

Sfruttando i risultati delle ricerche e i consigli dei chatbot AI, i cybercriminali distribuiscono software infetto che nasconde miner di criptovalute.
Malware per cryptojacking suggerito dai chatbot AI
Sicurezza Business AI
Sfruttando i risultati delle ricerche e i consigli dei chatbot AI, i cybercriminali distribuiscono software infetto che nasconde miner di criptovalute.
Google AI Studio
Aggiungi Punto Informatico come Fonte preferita su Google

Gli esperti di Microsoft hanno identificato una campagna di cryptojacking che sfrutta i chatbot AI per convincere gli utenti a scaricare un software infetto, oltre alla tradizionale tecnica del SEO poisoning. I cybercriminali stabiliscono anche un accesso remoto persistente per rubare dati o installare ransomware.

GPU mining e accesso remoto

Lo scopo del cryptojacking è sfruttare le risorse del computer (GPU in particolare) per il mining delle criptovalute, ovviamente all’insaputa delle vittime. I cybercriminali sfruttato principalmente la tecnica del SEO poisoning per manipolare i risultati delle ricerche. Quando l’utente cerca popolari tool, come CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack e PDFgear, finisce sui siti fasulli con design simile a quello dei siti legittimi.

In alcuni casi, i link a questi siti sono presenti nelle risposte dei chatbot AI, quindi il cosiddetto “avvelenamento” dei risultati delle ricerche è stato esteso agli LLM (Large Language Model). Microsoft ha identificato oltre 150 domini. Cliccando sul pulsante di download viene scaricato un archivio ZIP che contiene l’eseguibile legittimo del tool e una DLL (autorun.dll).

Quando l’utente lancia l’eseguibile, la DLL viene caricata in memoria (DLL sideloading) e scarica una seconda DLL che, in realtà, è l’installer di SmartConnect, un tool legittimo di accesso remoto sfruttato dai cybercriminali per copiare in una cartella nascosta il file SimpleRunPE.exe (mascherato come RuntimeHost.exe). Il malware stabilisce sei meccanismi di persistenza (tre attività pianificate, due chiavi di registro e un collegamento alla cartella di esecuzione automatica).

Usando la tecnica “process hollowing”, il malware viene eseguito all’interno di alcune utility di Windows. Al termine vengono scaricati i miner di criptovalute che sfruttano la GPU. Chiaramente le monete digitali estratte finiscono nel portafoglio dei cybercriminali. Microsoft Defender può rilevare e bloccare questi attacchi di cryptojacking.

Fonte: Microsoft

Pubblicato il 30 mag 2026

Link copiato negli appunti

Ti potrebbe interessare

Microsoft minaccia azioni legali contro Nightmare Eclipse

Microsoft minaccia azioni legali contro Nightmare Eclipse
CNN contro Perplexity: 17.000 contenuti usati dall'AI senza licenza

CNN contro Perplexity: 17.000 contenuti usati dall'AI senza licenza
Non è vero che su Windows 11 non serve l'antivirus...

Non è vero che su Windows 11 non serve l'antivirus...
Juventus Football Club conferma violazione dei dati

Juventus Football Club conferma violazione dei dati
Microsoft minaccia azioni legali contro Nightmare Eclipse

Microsoft minaccia azioni legali contro Nightmare Eclipse
CNN contro Perplexity: 17.000 contenuti usati dall'AI senza licenza

CNN contro Perplexity: 17.000 contenuti usati dall'AI senza licenza
Non è vero che su Windows 11 non serve l'antivirus...

Non è vero che su Windows 11 non serve l'antivirus...
Juventus Football Club conferma violazione dei dati

Juventus Football Club conferma violazione dei dati
Luca Colantuoni
Pubblicato il
30 mag 2026
Link copiato negli appunti