Malware de Mineração se Espalha por Recomendações de Chatbots de IA
Uma nova campanha de malware utiliza recomendações de chatbots de IA para infectar usuários com software malicioso de mineração de criptomoedas. Os criminosos visam computadores com hardware poderoso, buscando acesso remoto persistente e a possibilidade de roubo de dados.
MundiX News·30 de maio de 2026·3 min de leitura·👁 18 views
Malware de Mineração se Espalha por Recomendações de Chatbots de IA
Criminosos estão promovendo malware não apenas através de envenenamento de SEO em mecanismos de busca, mas também por meio de recomendações de assistentes de IA. Especialistas em segurança cibernética descobriram uma nova campanha que visa proprietários de PCs potentes. Ela permite que os invasores não apenas usem os dispositivos das vítimas para mineração oculta, mas também mantenham acesso remoto de longo prazo a eles.
De acordo com especialistas da Microsoft, as vítimas desta campanha estavam procurando na web por utilitários de sistema populares e ferramentas de monitoramento de hardware — CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack e PDFgear. Inicialmente, os usuários eram atraídos para sites maliciosos por meio de resultados de pesquisa "envenenados", mas na primavera de 2026, os pesquisadores começaram a registrar casos em que links para domínios maliciosos apareciam nas respostas de assistentes de IA.
Como observam os especialistas, os usuários perguntavam aos chatbots onde baixar o software necessário e, em resposta, recebiam links para recursos maliciosos. A empresa acredita que esta é uma evolução da tática clássica de envenenamento de SEO, só que agora os invasores estão se esforçando para influenciar não os resultados da pesquisa, mas os resultados gerados por LLMs (Large Language Models).
Em sites maliciosos, havia um botão para baixar um arquivo ZIP. Dentro, havia um arquivo executável legítimo e uma DLL maliciosa, que era executada por meio de DLL sideloading. Como resultado, o ataque levou à instalação da ferramenta legal de administração remota ScreenConnect.
Depois disso, os invasores obtinham acesso permanente ao dispositivo da vítima e carregavam um componente adicional, SimpleRunPE.exe. Ele era fixado no sistema usando entradas de inicialização automática no registro e tarefas do agendador, adicionava exclusões no Microsoft Defender, executava verificações para a presença de ferramentas de análise e usava a técnica de process hollowing para executar a payload dentro de processos Windows confiáveis.
Em alguns casos, em vez de transferir arquivos via ScreenConnect, os invasores usavam um script PowerShell, que carregava o mesmo componente malicioso sob o nome vlc.exe, mascarando-o como o reprodutor de mídia VLC.
Depois de se estabelecer no sistema, o malware coletava informações detalhadas sobre a máquina infectada, conectava-se ao servidor de controle e carregava um dos mineradores — gminer, lolMiner ou SRBMiner-MULTI. Todos eles usam a GPU para minerar criptomoedas.
De acordo com os pesquisadores, esta campanha difere dos casos típicos de cryptojacking. Em vez de infectar em massa máquinas aleatórias, os invasores procuram intencionalmente sistemas com placas de vídeo de alto desempenho, buscando obter o máximo de lucro de cada dispositivo hackeado.
Além disso, a mineração não é o único objetivo desta campanha. A presença de acesso permanente aos sistemas das vítimas via ScreenConnect permite que os hosts comprometidos sejam usados para roubo de dados, movimentação lateral na rede e até mesmo implantação subsequente de ransomware.
A Microsoft identificou mais de 150 domínios maliciosos envolvidos nesses ataques. A combinação de recomendações de chatbots de IA, mascaramento como software legítimo e mecanismos de acesso de longo prazo demonstra que os invasores estão adaptando ativamente os esquemas antigos aos novos hábitos dos usuários.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Malware de Mineração se Espalha por Recomendações de Chatbots de IA
Criminosos estão promovendo malware não apenas através de envenenamento de SEO em mecanismos de busca, mas também por meio de recomendações de assistentes de IA. Especialistas em segurança cibernética descobriram uma nova campanha que visa proprietários de PCs potentes. Ela permite que os invasores não apenas usem os dispositivos das vítimas para mineração oculta, mas também mantenham acesso remoto de longo prazo a eles.
De acordo com especialistas da Microsoft, as vítimas desta campanha estavam procurando na web por utilitários de sistema populares e ferramentas de monitoramento de hardware — CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack e PDFgear. Inicialmente, os usuários eram atraídos para sites maliciosos por meio de resultados de pesquisa "envenenados", mas na primavera de 2026, os pesquisadores começaram a registrar casos em que links para domínios maliciosos apareciam nas respostas de assistentes de IA.
Como observam os especialistas, os usuários perguntavam aos chatbots onde baixar o software necessário e, em resposta, recebiam links para recursos maliciosos. A empresa acredita que esta é uma evolução da tática clássica de envenenamento de SEO, só que agora os invasores estão se esforçando para influenciar não os resultados da pesquisa, mas os resultados gerados por LLMs (Large Language Models).
Em sites maliciosos, havia um botão para baixar um arquivo ZIP. Dentro, havia um arquivo executável legítimo e uma DLL maliciosa, que era executada por meio de DLL sideloading. Como resultado, o ataque levou à instalação da ferramenta legal de administração remota ScreenConnect.
Depois disso, os invasores obtinham acesso permanente ao dispositivo da vítima e carregavam um componente adicional, SimpleRunPE.exe. Ele era fixado no sistema usando entradas de inicialização automática no registro e tarefas do agendador, adicionava exclusões no Microsoft Defender, executava verificações para a presença de ferramentas de análise e usava a técnica de process hollowing para executar a payload dentro de processos Windows confiáveis.
Em alguns casos, em vez de transferir arquivos via ScreenConnect, os invasores usavam um script PowerShell, que carregava o mesmo componente malicioso sob o nome vlc.exe, mascarando-o como o reprodutor de mídia VLC.
Depois de se estabelecer no sistema, o malware coletava informações detalhadas sobre a máquina infectada, conectava-se ao servidor de controle e carregava um dos mineradores — gminer, lolMiner ou SRBMiner-MULTI. Todos eles usam a GPU para minerar criptomoedas.
De acordo com os pesquisadores, esta campanha difere dos casos típicos de cryptojacking. Em vez de infectar em massa máquinas aleatórias, os invasores procuram intencionalmente sistemas com placas de vídeo de alto desempenho, buscando obter o máximo de lucro de cada dispositivo hackeado.
Além disso, a mineração não é o único objetivo desta campanha. A presença de acesso permanente aos sistemas das vítimas via ScreenConnect permite que os hosts comprometidos sejam usados para roubo de dados, movimentação lateral na rede e até mesmo implantação subsequente de ransomware.
A Microsoft identificou mais de 150 domínios maliciosos envolvidos nesses ataques. A combinação de recomendações de chatbots de IA, mascaramento como software legítimo e mecanismos de acesso de longo prazo demonstra que os invasores estão adaptando ativamente os esquemas antigos aos novos hábitos dos usuários.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
