悪意のあるダウンロードサイトが、従来の検索エンジンポイズニングだけでなく、AIチャットボットとのやり取りを通じても拡散される、現在進行中のクリプトジャッキングキャンペーンが確認されています。
脅威アクターは、CrystalDiskInfo、HWMonitor、Display Driver Uninstaller、FurMark、K-Lite Codec Pack、PDFgearといった信頼性の高いシステムユーティリティを装った攻撃者管理の偽ダウンロードサイトにユーザーを誘導しており、高性能GPUの所有者を主要な標的としています。
このオペレーションは広範囲な感染拡大を狙うのではなく、GPUマイニングで高い収益をもたらす少数のマシンへの侵害に最適化されています。また、不正利用されたScreenConnect展開を通じて永続的なリモートアクセスを確立しており、データ窃取、横方向の移動、あるいはランサムウェア攻撃への転用が懸念されます。
攻撃チェーンは、ユーザーが一般的なユーティリティやハードウェア監視ツールを検索することから始まります。SEOポイズニングによって検索結果が操作され、悪意のあるドメインへ誘導される仕組みです。
2026年4月、Microsoftはさらに、AIチャットボットがこれらの攻撃者管理サイトへのリンクを返すケースも観測しており、検索結果の操作がLLMを活用したインタラクションにまで及んでいることが明らかになりました。
VirusTotalのメタデータ分析により、一部のドメイントラフィックがチャットボットの参照元と関連していることが確認されています。これは、AI生成レスポンスが悪意のあるリンクの露出度を高め、GPUを活用するユーティリティを求める技術に精通したユーザーをソーシャルエンジニアリングする手段として悪用され得ることを示しています。
各悪意のあるサイトは、キャンペーン専用のgleeze.comサブドメインにホストされたZIPアーカイブをダウンロード提供しています。gleeze.comは、脅威アクターに頻繁に悪用されるダイナミックDNSプロバイダーのインフラです。
Microsoft Defender Expertsが発見した現在進行中のクリプトジャッキングキャンペーンは、古典的なSEOポイズニングと新たな配信手法を組み合わせたものです。
このアーカイブには、偽装されたユーティリティの正規実行ファイルと、autorun.dllという名の悪意のあるDLLが含まれています。ユーザーがユーティリティを実行すると、DLLサイドローディングにより、正規バイナリが目に見える異常なしにautorun.dllを読み込みます。
偽ユーティリティダウンロードの悪用
autorun DLLはその後、msiexec.exeを使用して、Visual C++再頒布可能パッケージ(vcredist_x64.dll)を装った第2のペイロードをサイレントインストールします。このペイロードは実際にはScreenConnectクライアントを展開し、攻撃者管理のサーバーに接続するよう設定されています。
ScreenConnect(ConnectWise Control)は正規のリモート管理ツールです。このキャンペーンでは、持続的かつ隠蔽されたリモートアクセスを確立するために悪用されています。ScreenConnectのファイル転送機能を使い、オペレーターはSimpleRunPEバイナリをドロップします。このバイナリは、公開されているプルーフオブコンセプトのプロセスホローイングプロジェクトをフォークしたものとみられます。
SimpleRunPEはRuntimeHost.exeとして隠しフォルダー(キャンペーン識別子D3F4E2A1)にインストールされ、system/hidden属性を設定した上で、3つのスケジュールタスク、2つのレジストリRunキー、スタートアップショートカットという複数の永続化メカニズムを構成して実行を維持します。
ドロッパーは対象バイナリを一時停止状態で起動し、WriteProcessMemory、SetThreadContext、ResumeThreadといったAPI呼び出しを使用してプロセスをホローします。
防御回避のため、攻撃者はMicrosoftが署名した.NETユーティリティ(InstallUtil.exe、RegAsm.exe、MSBuild.exeなど)へのプロセスホローイングを実施し、マイニングに関連するパスとプロセスに対してDefenderの除外設定を登録します。
このマルウェアは広範な解析妨害チェック(VM検出、解析ツール名チェック)を実行し、wss[:]//minemine.gleeze[.]com:8443/wsのWebSocket C2に対して証明書ピンニングを活用します。
マイニング機能はモジュール化されており、ローダーは実行時にGPUマイナー(gminer、lolMiner、SRBMiner-MULTI)を取得します。ホスト上のGPUアクティビティゲートを尊重し、ユーザーのアクティビティやGPU使用率がインタラクティブな操作を示す場合はマイニングを一時停止することで、ユーザーへの発覚を最小限に抑えながら収益性を最大化しています。
Microsoftのテレメトリにより、このキャンペーンは同一のTLS証明書を提示する複数のIPと、2026年3月以降に確認された150以上の悪意のあるドメインに関連していることが判明しています。
クラウド提供型保護、ブロックモードのEDR、攻撃対象領域削減(ASR)ルールを有効にしている顧客環境では、いずれも正常に緩和が確認されました。
推奨される緩和策としては、クラウド提供型保護の有効化、ネットワーク保護とウェブ保護の有効化、SmartScreen対応ブラウザーの強制使用、そして未知の実行ファイルをブロックするASRルールの適用が挙げられます。
組織はこれらの対策を優先して実施するとともに、未確認のソースからのダウンロードを避けるようユーザーを教育し、AIが提供するリンクも検索結果と同等の懐疑的目線で扱うよう周知することが重要です。
IOC(侵害の痕跡)
| インジケーター | 種別 | 説明 |
| direct-download[.]gleeze[.]com start-download[.]gleeze[.]com direct-downloads[.]giize.com free-download[.]giize.com |
ドメイン | 悪意のあるZIPファイルのホスト |
| directdownload[.]icu | ドメイン | ScreenConnectクライアントの接続先ホスト |
| 16562974deec80e41ef57a71a6de8c03ceb393005fb1432f8d9d82c61294ef8c | SHA256 | DLLサイドローディングにより正規EXEが読み込むautorun.dll |
| 1b2555b09ac62164638f47c8272beb6b0f97186e37d3a54cb84c723ff7a2eee5 | SHA256 | DLLサイドローディングにより正規EXEが読み込むautorun.dll |
| 062bb28765fbaa11f8cc341fa16e2c7f942a122d929cb41f4a0f755b4429f246 | SHA256 | DLLサイドローディングにより正規EXEが読み込むautorun.dll |
| c7425fbe6c3a4937934215c54027d4b67202d12ab490682fae03498870d66d06 | SHA256 | DLLサイドローディングにより正規EXEが読み込むautorun.dll |
| a460d00ef93c8ce70d32e48e55781af66a53328fc2dde45519be196c265de074 | SHA256 | DLLサイドローディングにより正規EXEが読み込むautorun.dll |
| db2d33c4e6e4a5c2263b56e8303c343305a94dde1fc2968304ba260acbbd9f9f | SHA256 | DLLサイドローディングにより正規EXEが読み込むautorun.dll |
| cf3f8160eb5a5580e0c35054847e3ac4d01e9fe74fab8bc12bf6e8a40bf696b2 | SHA256 | DLLサイドローディングにより正規EXEが読み込むautorun.dll |
| 69077fcf940fc5852fb32beed15636756ebc04ac971b7ed71d36251e7ea70a20 | SHA256 | DLLサイドローディングにより正規EXEが読み込むautorun.dll |
| 2ee93ccbcd49ed94c65dcf52e7dcb8f0fa0a443ca24c0e0c7f79152efba657b7 | SHA256 | DLLサイドローディングにより正規EXEが読み込むautorun.dll |
| 193.42.11[.]108 | IPアドレス | ScreenConnectクライアントが通信する攻撃者管理のIP |
| 9ff07c9fafa9c03fdf69e4abf6806aa7c938b5480e7e258f227db0719ecd6386 | SHA256 | ScreenConnectセッション確立後に攻撃者がデバイスに転送したSimpleRunPE.exeバイナリ |
| 7035c2abeb617e828dfda1b119b8544fa9ae15a1d263d18bc5506acaf381f496 | SHA256 | ScreenConnectセッション確立後に攻撃者がデバイスに転送したSimpleRunPE.exeバイナリ |
| e021662a652ba95c8778b991056696ab3c9b0f60d5e23b1e6cf73c3847db6610 | SHA256 | DLLを装ったScreenConnectファイル |
| wss[:]//minemine.gleeze[.]com:8443/ws | URL | ホローイングされたバイナリからのC2 |
注意: IPアドレスとドメインは、誤って名前解決やハイパーリンクが行われないよう、意図的にデファング処理されています(例:[.])。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、再ファング処理を行ってください。
翻訳元: https://gbhackers.com/hackers-use-fake-utility-downloads/
