Специалисты Microsoft зафиксировали волну целевых атак на владельцев мощных ПК: злоумышленники распространяют скрытые майнеры, маскируя вредоносные загрузки под известные утилиты для диагностики и обслуживания системы.
Согласно отчёту Microsoft Defender Experts атака ориентирована не на массовость, а на «качество» жертв. Под удар попадают пользователи, которые ищут CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack и PDFgear — программы, традиционно востребованные среди владельцев производительных графических ускорителей, геймеров и инженеров. Расчёт прост: чем мощнее GPU на заражённой машине, тем выше прибыль от скрытого майнинга. Цепочка начинается с поискового запроса и злоумышленники раскрутили более 150 доменов, успешно выводя их в топ выдачи по значимым ключам. Пользователь, не заметив подмены, попадает на поддельный сайт, внешне копирующий официальную страницу программы, и скачивает архив. Внутри лежат два файла: легитимный исполняемый файл утилиты и вредоносная DLL с именем autorun.dll. При запуске программа через механизм DLL автоматически подгружает библиотеку майнера.
Подход к заражению получается избирательным
Дальше через встроенную передачу файлов на ПК доставляется дроппер SimpleRunPE.exe, который копирует себя в скрытую папку %LocalAppData%MicrosoftWindowsCachesD3F4E2A1 под именем RuntimeHost.exe и прописывает сразу шесть механизмов автозапуска: три задачи в планировщике, два ключа реестра Run и ярлык в папке автозагрузки. В некоторых случаях этот же этап реализуется через PowerShell‑скрипт. Чтобы оставаться незамеченным, майнер запускает один из легитимно подписанных Microsoft процессов .NET (InstallUtil.exe, RegAsm.exe, MSBuild.exe и другие) в приостановленном состоянии и подменяет его код в памяти на вредоносный.
На финальной стадии на устройство загружается один из трёх GPU-майнеров: gminer, lolMiner или SRBMiner-MULTI. Решение о запуске принимается динамически исходя из загрузки GPU и активность пользователя, приостанавливая майнинг во время игр или работы с требовательными к графике приложениями, чтобы не привлекать внимания падением производительности. Исследователи отмечают, что появление вредоносных ссылок в ответах ИИ-чат-ботов было зафиксировано ещё в апреле 2026 года. Пользователи, спрашивавшие у ассистентов, где скачать ту же CrystalDiskInfo или HWMonitor, иногда получали в выдаче домены злоумышленников. Это не массовый сбой конкретного сервиса, а новая вариант SEO-хакинга, расширяющая охват за пределы классических поисковиков.
Казалось бы бум майнинга прошел, но майнеры еще остались
Пока владельцы производительных рабочих станций и игровых сборок остаются основной целью. Недавно вирусы завелись и в специфических ZIP-архивах, которые умеют обманывать систему, так что угроз безопастности становится больше.
Приходилось ли вам при загрузке системных утилит сталкиваться с подозрительными ссылками в поиске или получать странные рекомендации от чат-ботов? И нарывались ли вы на майнеры? Делитесь в комментариях.
PC НовостиЖелезо и технологииMicrosoftхакеры
Источник: vgtimes.ru