AI聊天机器人推荐将用户引向加密劫持恶意软件站点

微软近日发布警告，一场活跃的加密劫持活动正将人工智能聊天机器人互动作为推送恶意下载站点的新机制。Microsoft Defender Experts与Microsoft Defender Security Research Team在报告中指出：“这种新兴的传递技术将社会工程学扩展到传统搜索结果之外，加大了恶意软件推荐的曝光度。”

该活动冒充CrystalDiskInfo、HWMonitor、Display Driver Uninstaller、FurMark、K-Lite Codec Pack和PDFgear等合法系统工具，主要针对拥有高性能GPU的用户，意图在单台设备上最大化挖矿收益，而非盲目感染大量机器。除经济动机外，攻击者还通过ScreenConnect部署建立持久远程访问，为数据窃取、横向移动或勒索软件等后续行动铺路。微软表示已检测并阻止了相关活动。

攻击手法：从SEO中毒到AI响应投毒攻击链最初依赖搜索引擎优化(SEO)中毒，当用户搜索可信系统工具时，恶意站点通过操纵排名出现在结果中。到2026年4月，微软观察到攻击迭代：用户不再通过搜索引擎，而是通过与大语言模型(LLM)工具的交互被引导至这些网站。微软表示：“用户向AI聊天机器人询问软件下载推荐时，生成的回复中包含指向攻击者控制域的链接。该行为基于观察到的模式和关联数据源，符合AI搜索结果中毒的新兴技术，是传统SEO中毒向常规搜索引擎之外的延伸。”

恶意站点与载荷投递每个恶意站点均设有醒目下载按钮，实际获取的ZIP压缩包来自gleeze[.]com的特定子域，该域托管在动态DNS提供商Dynu的基础设施上，而Dynu常被威胁行为者利用。已发现超过150个恶意域名用于分发这些伪冒工具。

下载的ZIP文件内含合法可执行文件以及恶意DLL（autorun.dll）。用户启动程序时，通过DLL侧加载机制加载autorun.dll，该DLL随后利用msiexec.exe安装第二个恶意DLL——vcredist_x64.dll，后者实为ScreenConnect软件的打包安装程序。ScreenConnect安装后，客户端持续尝试连接攻击者控制的服务器193.42.11[.]108，该会话进而成为投递可执行文件SimpleRunPE.exe的通道。

持久化、挖矿与检测规避SimpleRunPE.exe负责在主机上建立持久性，手段包括写入注册表Run键和创建计划任务，同时配置Microsoft Defender排除项、执行反分析检查，并使用进程镂空技术在受信任的微软签名二进制文件下启动挖矿代码。在部分入侵中，攻击者改用PowerShell脚本从远程驱动器获取该二进制文件，将其本地保存为vlc.exe以躲避检测，创建计划任务启动后自我删除。

镂空后的二进制文件与攻击者服务器通信，传输详细主机信息，运行时下载合适的矿工程序并执行。恶意软件支持gminer、lolMiner和SRBMiner-MULTI三款矿工。它还会重建持久化机制、重新配置Defender排除项，并持续监控进程列表，一旦检测到taskmgr.exe、processhacker.exe、procexp.exe、systeminformer.exe等进程，便立即终止挖矿程序以躲避检测。

微软评论与近期关联威胁微软总结称：“AI辅助投递、软件伪装与持久访问的组合，凸显了威胁行为者如何针对现代用户行为调整社会工程和变现策略。”

在披露该活动的前几天，微软还详述了另一起入侵：未知威胁者攻破暴露在互联网的F5 BIG-IP防火墙设备，滥用信任关系横向移动至内部Linux主机，随后试图攻击存在漏洞的Atlassian Confluence服务器。攻击者在初始Linux主机上利用Python的ftplib模块搭建FTP服务器，将自定义扫描工具传输至Confluence服务器并窃取凭据，进而通过Kerberos中继攻击和利用CVE-2025-33073漏洞，最终入侵具有特权的SaaS应用，实施针对Active Directory的中继式身份验证攻击。微软强调，攻击者通过SSH使用特权账户登录Linux服务器并始终保持访问，虽未部署显式持久化机制，但过度授权的sudo权限构成巨大风险。

本月早些时候，微软还曝光了另一起入侵，攻击者滥用受信任的第三方IT服务提供商和合法IT管理工具，建立长期驻留并窃取凭据。微软建议：“当可见性有限或验证被假定，第三方服务商和集成管理工具可能成为防御缺口。防御者应采取审慎验证的姿态——信任供应商和工具，但必须验证它们在自己环境中的行为。”