Una nuova campagna di cryptojacking sta sfruttando un vettore sempre piu comune nelle abitudini digitali: i chatbot basati su intelligenza artificiale. Invece di limitarsi ai classici risultati dei motori di ricerca, gli attaccanti riescono a far comparire domini malevoli direttamente nelle risposte generate dai sistemi LLM, presentandoli come fonti affidabili per scaricare software.
Questo approccio amplia il raggio della social engineering e rende piu difficile per l utente distinguere un link legittimo da uno pericoloso.
La catena di infezione punta a chi cerca utility di sistema e strumenti di monitoraggio hardware molto diffusi, come software per controllare temperature, dischi o driver video. L obiettivo non e colpire indiscriminatamente, ma selezionare dispositivi con GPU performanti, cosi da massimizzare il rendimento del mining di criptovalute per ogni macchina compromessa. Il rischio pero non si ferma al consumo anomalo di risorse: gli aggressori instaurano anche accesso remoto persistente, creando le basi per furto dati, movimento laterale e persino ransomware.
Il flusso tipico parte da un sito che imita un portale di download legittimo e mostra un pulsante di scaricamento ben visibile. Il file ottenuto e spesso un archivio ZIP ospitato su sottodomini dedicati, collegati a infrastrutture con DNS dinamico, una scelta frequente negli ecosistemi criminali per cambiare rapidamente indirizzi e sfuggire ai blocchi. Sono stati individuati oltre 150 domini malevoli associati a questa attivita.
Dentro lo ZIP si trova un eseguibile autentico affiancato da una DLL malevola che viene caricata tramite sideloading quando l utente avvia il programma. Da li viene installato un componente aggiuntivo che distribuisce un tool di accesso remoto. Una volta presente sul sistema, il client tenta di collegarsi a un server controllato dagli attaccanti e scarica un payload che imposta persistenza con chiavi di registro e operazioni pianificate, modifica impostazioni di sicurezza e usa tecniche come process hollowing per eseguire il miner sotto un processo considerato affidabile.
Il malware puo anche usare script PowerShell per recuperare il binario, rinominarlo con nomi innocui e cancellare le tracce. Supporta diversi miner e interrompe l attivita se rileva strumenti di analisi come task manager o process explorer, un comportamento tipico per evitare diagnosi e rimozione.