Το κακόβουλο λογισμικό GPU mining «δηλητηριάζει» αποτελέσματα αναζήτησης και AI chatbots για να μολύνει PC με ισχυρές κάρτες γραφικών

Η ομάδα Microsoft Defender Experts ανακοίνωσε επίσημα στις 26 Μαΐου 2026 ότι παρακολουθεί ενεργή καμπάνια cryptojacking — δηλαδή κρυφής εξόρυξης κρυπτονομισμάτων — που χρησιμοποιεί συνδυασμό ψεύτικων ιστοσελίδων λήψης λογισμικού, παραποιημένων αποτελεσμάτων αναζήτησης και, σε πρόσφατες παραλλαγές, κακόβουλων συνδέσμων μέσα σε απαντήσεις AI chatbots.

Ποιους στοχεύει και γιατί

Η καμπάνια υποδύεται γνωστά εργαλεία συστήματος, όπως CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack και PDFgear, στοχεύοντας χρήστες που είναι πιθανό να διαθέτουν κάρτες γραφικών υψηλών επιδόσεων. Η επιλογή αυτών των εφαρμογών δεν είναι τυχαία: κάθε μία από αυτές προτιμάται από enthusiasts hardware και PC, ακριβώς το κοινό που είναι πιο πιθανό να διαθέτει ισχυρή κάρτα γραφικών — το υλικό που κάνει οικονομικά βιώσιμη την εξόρυξη κρυπτονομισμάτων μέσω GPU.

Αντί να μεγιστοποιήσουν τον όγκο μολύνσεων, οι επιτιθέμενοι φαίνεται να εστιάζουν στη στόχευση συστημάτων με υψηλότερη αξία για mining. Πρόκειται για στρατηγική αλλαγή σε σχέση με παλαιότερες καμπάνιες που απλώς «ψάρευαν» όγκο.

Πώς λειτουργεί η αλυσίδα μόλυνσης

Όλα ξεκινούν όταν ένας χρήστης αναζητά γνωστά εργαλεία συστήματος ή λογισμικό παρακολούθησης υλικού σε μηχανές αναζήτησης — και οι κακόβουλες ιστοσελίδες εμφανίζονται ψηλά στα αποτελέσματα μέσω τεχνικών SEO poisoning. Σε μεταγενέστερες παραλλαγές που παρατηρήθηκαν τον Απρίλιο του 2026, οι χρήστες οδηγούνταν σε αυτές τις ιστοσελίδες όχι μέσω αποτελεσμάτων αναζήτησης, αλλά μέσω αλληλεπίδρασης με εργαλεία βασισμένα σε γλωσσικά μοντέλα (LLM). Σύμφωνα με τη Microsoft: «Σε αυτές τις περιπτώσεις, χρήστες που ρωτούσαν AI chatbots για συστάσεις λήψης λογισμικού λάμβαναν συνδέσμους σε domains ελεγχόμενα από τους επιτιθέμενους μέσα στις παραγόμενες απαντήσεις.»

Ανάλυση δεδομένων VirusTotal που συνδέονται με αυτά τα domains εντόπισε μεταδεδομένα κίνησης που παραπέμπουν σε αλληλεπιδράσεις chatbot ως πιθανό πλαίσιο παραπομπής. Η συμπεριφορά αυτή είναι συνεπής με αναδυόμενες τεχνικές δηλητηρίασης αποτελεσμάτων AI αναζήτησης, ως επέκταση του παραδοσιακού SEO poisoning πέρα από τις συμβατικές μηχανές αναζήτησης.

Συνολικά έχουν εντοπιστεί περισσότερα από 150 κακόβουλα domains που διανέμουν τα παραποιημένα εργαλεία. Το αρχείο ZIP που κατεβαίνει περιέχει ένα νόμιμο εκτελέσιμο αρχείο μαζί με ένα κακόβουλο DLL («autorun.dll») που φορτώνεται πλευρικά όταν ο χρήστης εκκινεί το πρόγραμμα. Το DLL εγκαθιστά ένα δεύτερο κακόβουλο αρχείο με την ονομασία «vcredist_x64.dll» μέσω του «msiexec.exe» — πρόκειται για εγκαταστάτη λογισμικού ScreenConnect.

Μόλις εκκινηθεί, το κακόβουλο λογισμικό αναπτύσσει αθόρυβα έναν miner που καταλαμβάνει κύκλους της GPU για εξόρυξη κρυπτονομισμάτων — συνήθως Monero ή άλλα νομίσματα απορρήτου.

Πέρα από το mining: επίμονη απομακρυσμένη πρόσβαση

Πέρα από την εξόρυξη κρυπτονομισμάτων, η καμπάνια εγκαθιστά επίμονη απομακρυσμένη πρόσβαση μέσω κατεχόμενων εγκαταστάσεων ScreenConnect, που μελλοντικά θα μπορούσαν να υποστηρίξουν κλοπή δεδομένων, πλευρική κίνηση εντός δικτύου ή δραστηριότητα ransomware. Αυτό σημαίνει ότι ακόμα κι αν η μόλυνση αρχικά αποσκοπεί στην εξόρυξη κρυπτονομισμάτων, ο ελεγχόμενος από τον επιτιθέμενο απομακρυσμένος έλεγχος παραμένει ως «πόρτα» για πολύ σοβαρότερες επιθέσεις.

Τι πρέπει να κάνεις

Η βασική άμυνα είναι απλή: κατεβάζεις εργαλεία λογισμικού αποκλειστικά από τις επίσημες ιστοσελίδες των κατασκευαστών — όχι από αποτελέσματα αναζήτησης χωρίς επαλήθευση, και σίγουρα όχι από συνδέσμους που σου πρότεινε AI chatbot. Σε αντίθεση με τα κλασικά κακόβουλα λογισμικά, το cryptojacking δεν κρυπτογραφεί αρχεία ούτε κλέβει δεδομένα ευθέως — γι' αυτό ακριβώς παραμένει εκτός ραντάρ για μεγάλο χρονικό διάστημα, μέχρι να εντοπιστεί από ασυνήθιστα υψηλή χρήση GPU ή κατανάλωση ρεύματος. Λύσεις endpoint security όπως το Microsoft Defender (με ενεργή προστασία σε πραγματικό χρόνο) μπορούν να ανιχνεύσουν το ύποπτο DLL sideloading πριν εκκινηθεί ο miner.

Πηγές

• Microsoft Security Blog — From poisoned search results to GPU mining (26 Μαΐου 2026)
• BleepingComputer — GPU mining malware spreads via SEO poisoning, AI chatbots
• The Hacker News — AI Chatbot Recommendations Redirect Users to Cryptojacking Malware Sites