Microsoftが警告したところによると、サイバー犯罪者たちはAIチャットボットとのやり取りと汚染された検索結果を組み合わせ、進行中のクリプトジャッキングキャンペーンの中でユーザーを悪意あるダウンロードサイトへ誘導しています。
このキャンペーンは、CrystalDiskInfo、HWMonitor、Display Driver Uninstaller(DDU)、FurMark、K-Lite Codec Pack、PDFgearといった正規のソフトウェアツールを装っています。
hwmonitorの悪意あるソースを示す検索エンジン結果のスクリーンショット(出典:Microsoft)
「これらのブランドの選択は意図的なものです。各アプリケーションはPCマニアやハードウェア重視のユーザーに好まれており、まさに高性能なディスクリートGPUを所有している可能性が最も高い層です。そのGPUこそが、GPU暗号通貨マイニングを経済的に成立させるハードウェアです」と研究者たちは述べています。
この脅威アクターは、多数のデバイスに感染させるよりも、マイニング価値の高いシステムの侵害に重点を置いているようです。
暗号通貨マイニングにとどまらず、このキャンペーンは悪用されたScreenConnectの展開を通じて、攻撃者が侵害済みシステムへの永続的なリモートアクセスを確保することも可能にしています。
ConnectWise Controlとも呼ばれるScreenConnectは、ITシステム管理者に広く利用されている正規のリモート管理ツールです。研究者たちは、このアクセスが後にデータ窃取、横展開(ラテラルムーブメント)、またはランサムウェア活動に利用される可能性があると警告しています。
攻撃チェーンはDLLサイドローディングとScreenConnectを使用
このキャンペーンは、ユーザーが検索エンジンで人気のシステムユーティリティやハードウェアモニタリングソフトウェアを検索した際に、攻撃者が管理する偽サイトへ誘導する操作された検索結果が表示されることから始まります。
2026年4月、Microsoftは従来の検索エンジン結果ではなく、LLMベースのチャットボットとのやり取りを通じてユーザーが悪意あるウェブサイトへ誘導されたケースを確認しました。
「これらのケースでは、AIチャットボットにソフトウェアのダウンロード先を質問したユーザーに対し、生成された回答の中に攻撃者が管理するドメインへのリンクが提示されていました」と研究者たちは指摘しています。
各ドメインに紐づくVirusTotalスキャンの分析では、潜在的なリファラルコンテキストとしてチャットボットとのやり取りを参照するトラフィックメタデータが確認されました。
「この動作は観測されたパターンと相関するデータソースに基づくものですが、AIによる検索結果ポイズニングという新興手法と一致しており、従来の検索エンジンを超えた従来型SEOポイズニングの延長線上にあることを示しています」と研究者たちは付け加えています。
各偽ウェブサイトには正規のユーティリティに見せかけたダウンロードボタンが表示されていますが、実際にはキャンペーンに関連するサブドメインにホストされた悪意あるZIPアーカイブがダウンロードされます。
2026年3月以降、この作戦に関連する150以上のドメインが確認されています。
ダウンロードされるZIPアーカイブには、偽装したユーティリティの正規実行ファイルと、autorun.dllという名前の悪意あるDLLファイルが含まれています。
起動されると、プログラムはDLLサイドローディングという手法によって同フォルダからDLLを読み込みます。この手法により、悪意あるコードが信頼されたアプリケーションを通じて実行され、不審感やセキュリティ警告の表示が抑制されます。分析の結果、このキャンペーンでは9種類の異なるautorun.dllの亜種が使用されていることが判明しました。
この悪意あるDLLはmsiexec.exeを使用して、Visual C++ 再頒布可能パッケージに偽装したvcredist_x64.dllという別の悪意あるファイルをサイレントインストールします。このファイルはScreenConnectのインストーラーとして機能します。
「ScreenConnectセッションが確立されると、攻撃者はScreenConnectのファイル転送機能を通じてSimpleRunPE.exeという名前のバイナリを直接ドロップします」と研究者たちは付け加えています。
実行されると、SimpleRunPE.exeは自身をRuntimeHost.exeという名前で隠しインストールフォルダにコピーし、ファイル属性を変更してデフォルトのWindowsエクスプローラー表示からマルウェアを隠蔽します。
場合によっては、攻撃者はPowerShellスクリプトを使用してリモートサーバーからペイロードをダウンロードし、”vlc.exe“としてローカルに保存し、起動するスケジュールタスクを作成した後、フォレンジック痕跡を減らすためスクリプト自体を削除しています。
マルウェアはマイナーを展開し分析を回避
最終段階のペイロードは攻撃者が管理するインフラと通信し、ホスト情報を収集・送信するとともに、実行時に暗号通貨マイナーをダウンロードします。分析では、gminer、lolMiner、SRBMiner-MULTIの3つのマイニングプログラムのサポートが確認されました。
この作戦は実行中に正規のWindowsおよびMicrosoft .NETユーティリティを悪用します。研究者たちは、Microsoftが署名した信頼済みバイナリ上でマイニングペイロードを起動するプロセスハロウイングの使用を詳述しました。この手法では、悪意あるコードが正規プロセスに注入されることで実行の隠蔽と検出回避が図られます。
このマルウェアはWindowsタスクマネージャー、Process Explorer、Process Hacker、System Informerなどの診断・フォレンジックユーティリティを監視しており、これらのツールが検出された場合、マイニング活動は即座に停止されます。
また、このマルウェアはレジストリRunキーなどの永続化アーティファクトを再生成し、削除された場合にはDefenderの除外設定を再構成します。
緩和策のガイダンス
研究者たちは、クラウド提供の保護機能、攻撃面削減ルール、およびブロックモードでのエンドポイント検出・応答保護の有効化を推奨するとともに、Defenderの除外設定への不正な変更や不審なリモート管理ツールの活動を監視するよう呼びかけています。
Microsoftはこのキャンペーンに関連する侵害指標(IOC)の一覧も公開しています。
翻訳元: https://www.helpnetsecurity.com/2026/05/27/ai-chatbot-cryptojacking-campaign/
