Do tej pory złota zasada cyberbezpieczeństwa brzmiała prosto – nie klikaj w podejrzane linki w wyszukiwarce i sprawdzaj, czy strona nie jest fałszywa. Okazuje się jednak, że w 2026 roku to za mało, a bezgraniczne zaufanie do AI może nas drogo kosztować. Zespół Microsoft Defender wykrył wyjątkowo perfidną kampanię wymierzoną w posiadaczy nowszych i wydajnych komputerów. Cyberprzestępcy nauczyli się manipulować odpowiedziami popularnych chatbotów. W efekcie sztuczna inteligencja, zamiast pomagać, z pełnym przekonaniem podsuwa użytkownikom bezpośrednie odnośniki do złośliwego oprogramowania.
Wielkie polowanie na mocne karty graficzne. Te programy omijaj szerokim łukiem
Hakerzy tym razem zrezygnowali z masowego atakowania przypadkowych internautów. Zamiast tego przygotowali precyzyjną pułapkę na graczy, overclockerów oraz entuzjastów sprzętu komputerowego. Celują w osoby, które posiadają w swoich maszynach wysokiej klasy karty graficzne.
Atak polega na tworzeniu idealnych, fałszywych kopii stron z popularnymi narzędziami systemowymi. Na liście przejętych haseł znalazły się absolutne klasyki – CrystalDiskInfo, HWMonitor, Display Driver Uninstaller (DDU), FurMark oraz K-Lite Codec Pack. Ofiary, szukając tych programów, były kierowane do podstawionych witryn nie tylko przez zainfekowane wyniki wyszukiwania Google, ale właśnie przez rekomendacje generowane przez LLM. Na Reddicie głośno zrobiło się o przypadku, gdzie ChatGPT bez zająknięcia podał użytkownikowi fałszywy adres z końcówką „.io” zamiast oficjalnej strony projektu.
Cel oszustów jest prosty – zainfekować komputery o ogromnej mocy obliczeniowej, aby potajemnie, na koszt ofiary, budować potężną kopalnię kryptowalut.
Sprytny trojan, który ucieka przed Menedżerem Zadań. Jak działa ta infekcja?
Sama architektura ataku udowadnia, że mamy do czynienia z profesjonalistami. Pobrana z fałszywej strony paczka ZIP zawiera prawdziwy, działający program, ale ukryty obok plik „autorun.dll” natychmiast uruchamia cichą infekcję systemu (tzw. DLL sideloading). W pierwszym kroku na komputerze ląduje legalne narzędzie do zdalnego zarządzania ScreenConnect, które hakerzy wykorzystują jako tylną furtkę do przejęcia pełnej kontroli nad Windowsem.
Co ciekawe, malware automatycznie dodaje własne reguły wykluczenia do Microsoft Defender, paraliżując fabryczną ochronę. Dopiero wtedy aktywowane jest złośliwe oprogramowanie służące do kopania kryptowalut (lolMiner lub gminer). Twórcy kodu wykazali się jednak niezwykłym sprytem w kwestii kamuflażu. Oprogramowanie bezustannie monitoruje zachowanie użytkownika i obciążenie GPU. Jeśli tylko odpalisz wymagającą grę, rendering wideo lub otworzysz Menedżer Zadań, koparka natychmiast zamraża swoje działanie. Dzięki temu w procesach nie widać niczego podejrzanego. Gdy zamykasz narzędzia diagnostyczne, pasożyt wraca do pracy.
Aby nie dać się złapać w tę pułapkę, należy całkowicie zrezygnować z klikania w linki podawane przez AI i pobierać narzędzia wyłącznie z oficjalnych stron twórców lub zaufanych, bezpiecznych repozytoriów. Warto też upewnić się, że systemowy antywirus ma włączoną ochronę w chmurze. Pozwoli to znacznie szybciej wykryć tak sprytnie zamaskowane złośliwe oprogramowanie.
Źródło: Tom’s Hardware, TechSpot / Zdjęcie otwierające: Unsplash (@hidd3n)