Microsoft alerta que resultados de chatbot de IA estão sendo usados em campanhas de criptojacking

• Anúncio -

• A Microsoft afirma que os atacantes estão usando resultados de pesquisa envenenados e interações de chatbots de IA para exibir sites de download maliciosos.

• A campanha visa usuários com GPUs potentes, tornando-a especialmente relevante para malware de mineração de criptomoedas e segurança de carteiras.

A Microsoft alertou que os atacantes estão usando tanto o envenenamento tradicional de mecanismos de busca quanto interações de chatbots de IA para promover downloads de software malicioso ligados a uma campanha de cryptojacking.

De acordo com pesquisadores do Microsoft Defender, a campanha se passa por utilitários de PC confiáveis, como CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack e PDFgear. Usuários que procuram essas ferramentas podem ser direcionados para páginas de download falsas controladas por atacantes.

O ângulo das criptomoedas é importante. A Microsoft disse que a campanha parece ter como alvo usuários que provavelmente possuem GPUs de alto desempenho. Essas máquinas são mais valiosas para os atacantes porque placas gráficas potentes podem gerar mais produção para mineração não autorizada de criptomoedas.

A pesquisa de IA se torna parte do caminho do ataque

O envenenamento de SEO é uma tática conhecida de malware há anos. Os atacantes criam ou manipulam sites para que apareçam nos resultados de busca para downloads populares, ferramentas de software ou consultas de solução de problemas.

O que torna este caso mais notável é o papel dos sistemas de IA.

A Microsoft disse que observou relatórios indicando que alguns usuários podem ter sido direcionados a domínios maliciosos por meio de interações com ferramentas baseadas em modelos de linguagem grande. Nesses casos, usuários que pediam recomendações de download de software a chatbots de IA recebiam links para domínios controlados por atacantes.

Conforme reportado pelo The Query Post, a campanha mostra como o envenenamento clássico de SEO pode estar migrando para a pesquisa de IA, onde os usuários frequentemente tratam as recomendações geradas como mais selecionadas e confiáveis do que os resultados de busca comuns.

Por que isso é importante para usuários de criptomoedas

Usuários de criptomoedas já são alvos frequentes de phishing, aplicativos de carteira falsos, extensões de navegador maliciosas e ferramentas de negociação falsas. A pesquisa de IA adiciona outro possível canal de descoberta para os atacantes.

Se um usuário pergunta a um assistente de IA qual carteira baixar, qual ferramenta de imposto de criptomoedas usar ou onde encontrar software de monitoramento de GPU, uma recomendação maliciosa pode levar a um domínio falso que parece legítimo.

Esse risco se torna mais sério quando o software solicita permissões do sistema ou quando o dispositivo alvo contém arquivos de carteira, sessões de exchange, anotações de frase-semente ou extensões de criptomoedas baseadas em navegador.

A Microsoft disse que o malware pode ser carregado por meio de DLL sideloading e que a campanha também abusa do ScreenConnect para estabelecer acesso remoto persistente. Esse acesso pode permitir que os atacantes perfilem o dispositivo, escaneiem a rede e implantem malware de mineração de criptomoedas.

Cryptojacking não é o único risco

A campanha imediata descrita pela Microsoft foca na mineração não autorizada de criptomoedas. Mas o acesso persistente a um dispositivo pode criar riscos de segurança mais amplos.

Uma vez que os atacantes tenham acesso remoto, eles podem ser capazes de se aprofundar no sistema, roubar informações ou se preparar para ataques adicionais. A Microsoft também alertou que esse tipo de acesso pode apoiar atividades posteriores, como roubo de dados, movimento lateral ou ransomware.

Para usuários de criptomoedas, isso torna o problema mais sério do que um dispositivo funcionando lentamente devido a software de mineração oculto. Uma máquina comprometida também pode expor carteiras, arquivos privados e contas conectadas a atividades de negociação ou DeFi.

Links gerados por IA não devem ser tratados como links verificados

A lição prática é simples: recomendações de software geradas por IA devem ser verificadas da mesma forma que os usuários verificariam resultados de pesquisa.

Usuários de criptomoedas devem baixar carteiras, ferramentas de negociação, utilitários de mineração e software de monitoramento de hardware apenas de sites oficiais. Eles também devem verificar os domínios cuidadosamente, evitar páginas falsas e ser especialmente cautelosos com ferramentas que solicitam permissões elevadas.

Ferramentas de IA podem ajudar os usuários a descobrir informações mais rapidamente. Mas quando se trata de software de criptomoedas, ferramentas de carteira ou qualquer coisa que envolva acesso ao sistema, uma recomendação de um chatbot não deve ser tratada como prova de que um link é seguro.

À medida que a pesquisa de IA se torna uma parte maior de como os usuários encontram software e ferramentas financeiras, os atacantes terão mais incentivo para influenciar essas respostas. Para a indústria de criptomoedas, isso torna o envenenamento de pesquisa de IA uma questão de segurança, não apenas um problema de marketing de busca.