微软示警：你的高性能 Win10/Win11 电脑成挖矿攻击目标

5 月 28 日消息，微软于 5 月 26 日发布研究报告，称一场加密挖矿攻击正瞄准全球高性能 Windows 11、Windows 10 电脑。

在诱导方面，微软称攻击者针对高性能电脑，伪装成 CrystalDiskInfo、HWMonitor、Display Driver Uninstaller、FurMark、K-Lite Codec Pack 和 PDFgear 等常用软件。

微软称，用户搜索这些工具后，可能先看到被 SEO 投毒推高排名的恶意链接。还有 4 月的部分报告显示，用户向 AI 助手询问软件下载建议后，生成结果里也出现了攻击者域名。

恶意下载包以 ZIP 压缩文件形式分发，托管在 gleeze [.]com 的子域名上。微软指出，这个压缩包会同时包含真实工具的合法可执行文件，以及一个会被自动加载的恶意 DLL。

用户启动看似正常的软件后，恶意 DLL 随即调用 msiexec.exe，安装伪装成 vcredist_x64.dll 的 ScreenConnect 远程访问组件，从而让攻击者拿到后续控制权。

拿到远程会话后，攻击者会投放名为 SimpleRunPE.exe 的安装文件，运行后会把自己复制成 RuntimeHost.exe，并藏进资源管理器中默认不显眼的位置，随后在多个 Windows 自启动位置建立 6 套持久化机制。

部分情况下，这个程序还会通过恶意 PowerShell 脚本落地，并保存为 vlc.exe，借此冒充 VideoLAN 播放器的可执行文件，降低用户警觉。

为了隐藏行为，这个样本还会使用进程镂空技术，把恶意代码塞进微软签名的 .NET 工具里运行，包括 InstallUtil.exe。

它还会调用 PowerShell，把自身路径和进程加入微软 Defender 排除列表。与此同时，恶意程序会检查虚拟机环境，并扫描 40 个分析工具进程名，一旦发现就立即退出。

在隐藏阶段完成后，攻击链会下载并执行 3 种矿工模块之一，分别是 gminer、lolMiner 和 SRBMiner-MULTI，这 3 款程序都面向 GPU 挖矿。

附上参考地址

From poisoned search results to GPU mining: A cryptojacking campaign abusing ScreenConnect and Microsoft .NET utilities