Microsoft alerta que resultados de chatbot de IA estão sendo usados em campanhas de criptomineração maliciosa

• Anúncio -

• A Microsoft afirma que invasores estão usando resultados de pesquisa envenenados e interações com chatbots de IA para exibir sites de download maliciosos.

• A campanha tem como alvo usuários com GPUs poderosas, tornando-a especialmente relevante para malware de mineração de criptomoedas e segurança de carteiras.

A Microsoft alertou que invasores estão usando tanto o envenenamento tradicional de mecanismos de busca quanto interações com chatbots de IA para promover downloads de software malicioso vinculados a uma campanha de cryptojacking.

De acordo com pesquisadores do Microsoft Defender, a campanha se passa por utilitários de PC confiáveis, como CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack e PDFgear. Usuários que procuram essas ferramentas podem ser direcionados para páginas de download falsas controladas pelos invasores.

O ângulo das criptomoedas é importante. A Microsoft afirmou que a campanha parece ter como alvo usuários que provavelmente possuem GPUs de alto desempenho. Essas máquinas são mais valiosas para os invasores porque placas gráficas potentes podem gerar mais saída para mineração não autorizada de criptomoedas.

A busca por IA se torna parte do caminho do ataque

O envenenamento de SEO tem sido uma tática de malware conhecida há anos. Os invasores criam ou manipulam sites para que eles apareçam nos resultados de busca para downloads populares, ferramentas de software ou consultas de solução de problemas.

O que torna este caso mais notável é o papel dos sistemas de IA.

A Microsoft disse que observou relatos indicando que alguns usuários podem ter sido direcionados para domínios maliciosos por meio de interações com ferramentas baseadas em modelos de linguagem grandes. Nesses casos, os usuários que pediam recomendações de download de software a chatbots de IA recebiam links para domínios controlados por invasores.

Conforme reportado pelo The Query Post, a campanha mostra como o envenenamento clássico de SEO pode estar migrando para a busca por IA, onde os usuários frequentemente tratam as recomendações geradas como mais curadas e confiáveis do que resultados de busca comuns.

Por que isso é importante para usuários de criptomoedas

Usuários de criptomoedas já são alvos frequentes de phishing, aplicativos de carteira falsos, extensões de navegador maliciosas e ferramentas de negociação falsas. A busca por IA adiciona outro canal possível de descoberta para invasores.

Se um usuário pergunta a um assistente de IA qual carteira baixar, qual ferramenta de imposto de criptomoedas usar ou onde encontrar software de monitoramento de GPU, uma recomendação maliciosa pode levar a um domínio falso que parece legítimo.

Esse risco se torna mais sério quando o software solicita permissões do sistema ou quando o dispositivo alvo contém arquivos de carteira, sessões de exchange, anotações de frase-semente ou extensões de criptomoedas baseadas em navegador.

A Microsoft disse que o malware pode ser carregado por meio de DLL sideloading e que a campanha também abusa do ScreenConnect para estabelecer acesso remoto persistente. Esse acesso pode permitir que invasores façam perfil do dispositivo, escaneiem a rede e implantem malware de mineração de criptomoedas.

Cryptojacking não é o único risco

A campanha imediata descrita pela Microsoft foca na mineração não autorizada de criptomoedas. Mas o acesso persistente a um dispositivo pode criar riscos de segurança mais amplos.

Assim que os invasores obtêm acesso remoto, eles podem ser capazes de avançar mais profundamente no sistema, roubar informações ou se preparar para ataques adicionais. A Microsoft também alertou que esse tipo de acesso pode apoiar atividades posteriores, como roubo de dados, movimento lateral ou ransomware.

Para usuários de criptomoedas, isso torna o problema mais sério do que um dispositivo funcionando lentamente devido a software de mineração oculto. Uma máquina comprometida também pode expor carteiras, arquivos privados e contas conectadas a atividades de negociação ou DeFi.

Links gerados por IA não devem ser tratados como links verificados

A lição prática é simples: recomendações de software geradas por IA devem ser verificadas da mesma forma que os usuários verificariam resultados de busca.

Usuários de criptomoedas devem baixar carteiras, ferramentas de negociação, utilitários de mineração e software de monitoramento de hardware apenas de sites oficiais. Eles também devem verificar domínios cuidadosamente, evitar páginas semelhantes e ter cuidado especial com ferramentas que solicitam permissões elevadas.

Ferramentas de IA podem ajudar os usuários a descobrir informações mais rapidamente. Mas quando se trata de software de criptomoedas, ferramentas de carteira ou qualquer coisa que envolva acesso ao sistema, uma recomendação de um chatbot não deve ser tratada como prova de que um link é seguro.

À medida que a busca por IA se torna uma parte maior de como os usuários encontram software e ferramentas financeiras, os invasores terão mais incentivo para influenciar essas respostas. Para a indústria de criptomoedas, isso torna o envenenamento por busca de IA uma questão de segurança, não apenas um problema de marketing de busca.