Pesquisadores da Microsoft identificaram uma campanha que distribui vírus por meio de sites falsos de download de utilitários populares. Esses sites aparecem no topo dos resultados de busca no navegador, promovidos tanto por manipulação de resultados de busca quanto por recomendações geradas por assistentes de inteligência artificial.A operação, descoberta pela equipe Microsoft Defender Experts, tem como alvo sistemas com placas de vídeo de alto desempenho para minerar criptomoedas às custas da vítima – algo chamado de cryptojacking. Isso porque a mineração exige processamento intensivo, especialmente desses componentes, que costumam ser equipados em computadores gamer e estações de trabalho potentes. Quem arca com o consumo de energia e o desgaste do equipamento é a vítima, enquanto o atacante embolsa os lucros.Desde o momento em que o usuário é redirecionado a um domínio malicioso até a execução do minerador de criptomoedas. O esquema envolve download de ZIP com DLL maliciosa, instalação silenciosa do ScreenConnect, process hollowing e estabelecimento de persistência na máquina comprometida. Imagem: Microsoft.Atacantes miraram usuários com hardware valiosoCuriosamente, a campanha não busca infeccionar o maior número possível de máquinas. Segundo os pesquisadores, os criminosos escolheram deliberadamente imitar ferramentas populares entre entusiastas de hardware, como CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack e PDFgear.Esses programas são muito usados por pessoas que constroem e monitoram PCs de alto desempenho, justamente o perfil de usuário mais provável de ter uma GPU potente. Basicamente, os atacantes foram atrás do hardware mais lucrativo para a mineração.Sites falsos nos resultados de busca e em respostas de chatbotsA infecção começa quando o usuário pesquisa por um desses utilitários. Sites maliciosos controlados pelos atacantes aparecem entre os primeiros resultados, graças a uma operação coordenada de envenenamento de SEO. Essa técnica consiste na manipulação dos mecanismos de busca para que links maliciosos ganhem destaque nos resultados.Em abril de 2026, a Microsoft registrou algo novo nessa cadeia. Usuários que pediram recomendações de download a assistentes baseados em inteligência artificial também receberam links para os domínios maliciosos nas respostas geradas. A empresa identificou metadados de tráfego no VirusTotal sugerindo interações com chatbots como contexto de referência para visitas a esses sites.Resultados de busca pelo HWMonitor no Bing mostram como sites maliciosos podem aparecer entre opções legítimas de download. A campanha aproveitou a popularidade dessas ferramentas de monitoramento de hardware para atrair usuários com PCs de alto desempenho. Imagem: Microsoft.A Microsoft deixou claro que o episódio não indica um problema sistêmico em nenhum serviço de IA específico. Ainda assim, o caso representa uma extensão do envenenamento de SEO para além dos mecanismos de busca tradicionais.O download traz um programa legítimo e um malware escondidoAo clicar no botão de download no site falso, o usuário recebe um arquivo ZIP hospedado em um subdomínio do gleeze[.]com, domínio associado no passado a páginas de phishing. Dentro do arquivo estão dois itens. O primeiro é o executável legítimo do utilitário que o usuário queria baixar. O segundo é uma DLL maliciosa chamada autorun.dll.Quando o usuário abre o programa legítimo, ele carrega automaticamente a DLL maliciosa junto. Essa técnica se chama DLL sideloading e não exige nenhuma exploração de vulnerabilidade. Para a vítima, tudo parece normal.Segundo post no Reddit, o ChatGPT forneceu uma URL incorreta que levava a um site malicioso. A vítima precisou reinstalar o Windows após o malware reinfectar a máquina mesmo depois de limpezas com o Malwarebytes. Imagem: Microsoft.ScreenConnect instala acesso remoto persistente na máquinaA DLL maliciosa usa o instalador nativo do Windows para colocar outro arquivo na máquina, disfarçado de pacote de instalação do Visual C++. Esse arquivo na verdade instala o ScreenConnect, uma ferramenta legítima de acesso remoto usada por administradores de TI.Com o ScreenConnect instalado, os atacantes ganham acesso completo à máquina da vítima. A partir daí, entregam um executável chamado SimpleRunPE.exe, que a Microsoft acredita ser uma versão modificada de um projeto público de demonstração de esvaziamento de processo no GitHub.Esvaziamento de processo é uma técnica em que o malware injeta código malicioso dentro de um processo legítimo já em execução. Isso faz com que o código malicioso rode disfarçado de um programa confiável, dificultando a detecção.Código da função responsável pelo process hollowing, técnica usada pelo malware para injetar código malicioso dentro de processos legítimos do Windows. Imagem: Microsoft.Malware cria seis mecanismos de persistência e se esconde do antivírusO SimpleRunPE.exe se copia como RuntimeHost.exe em uma pasta oculta com o identificador D3F4E2A1 e estabelece seis mecanismos de persistência. Isso inclui três tarefas agendadas, duas chaves de registro e um atalho na pasta de inicialização do Windows. O objetivo é garantir que o malware sobreviva a reinicializações e tentativas de remoção.O malware também usa o PowerShell para adicionar seus arquivos e processos à lista de exclusões do Microsoft Defender, além de verificar se está rodando em um ambiente de análise. Se detectar máquinas virtuais ou ferramentas de análise como o Wireshark, o IDA ou o x64dbg, encerra a execução imediatamente.Trecho do código malicioso mostra a lista de processos de análise monitorados pelo malware. Se qualquer ferramenta como x64dbg, IDA, Ghidra ou Wireshark for detectada em execução, o programa encerra sua atividade imediatamente para evitar ser estudado por pesquisadores. Imagem: Microsoft.Mineradores de GPU são baixados e executados em silêncioCom o esvaziamento de processo concluído, o malware baixa e executa um dos três programas de mineração suportados pela campanha. São eles o gminer, o lolMiner e o SRBMiner-MULTI, todos projetados para usar a GPU. O minerador é pausado automaticamente quando detecta que o usuário está utilizando a placa de vídeo para jogos ou outras tarefas pesadas.A Microsoft identificou mais de 150 domínios maliciosos ativos desde março de 2026 vinculados à campanha. A empresa recomenda manter a proteção baseada em nuvem do Microsoft Defender ativada, habilitar o modo de bloqueio do EDR e ativar as regras de redução de superfície de ataque para mitigar o risco.Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.