游戏
morning
微软示警:你的高性能 Win10/Win11 电脑成挖矿攻击目标
摘要
IT之家 5 月 28 日消息,微软于 5 月 26 日发布研究报告, 称一场加密挖矿攻击正瞄准全球高性能 Windows 11、Windows 10 电脑。在诱导方面,微软称攻击者针对高性能电脑,伪装成 CrystalDiskInfo、HWMonitor、Display Driver Uninstaller、FurMark、K-Lite Codec Pack 和 PDFgear 等常用软件。
exe
Windows
恶意
DLL
ScreenConnect
2026-05-28
1 阅读
约3分钟阅读
IT之家
IT之家 5 月 28 日消息,微软于 5 月 26 日发布研究报告, 称一场加密挖矿攻击正瞄准全球高性能 Windows 11、Windows 10 电脑。 在诱导方面,微软称攻击者针对高性能电脑,伪装成 CrystalDiskInfo、HWMonitor、Display Driver Uninstaller、FurMark、K-Lite Codec Pack 和 PDFgear 等常用软件。 微软称,用户搜索这些工具后,可能先看到被 SEO 投毒推高排名的恶意链接。还有 4 月的部分报告显示,用户向 AI 助手询问软件下载建议后,生成结果里也出现了攻击者域名。 恶意下载包以 ZIP 压缩文件形式分发,托管在 gleeze [.]com 的子域名上。微软指出,这个压缩包会同时包含真实工具的合法可执行文件,以及一个会被自动加载的恶意 DLL。 用户启动看似正常的软件后,恶意 DLL 随即调用 msiexec.exe ,安装伪装成 vcredist_x64.dll 的 ScreenConnect 远程访问组件,从而让攻击者拿到后续控制权。 拿到远程会话后,攻击者会投放名为 SimpleRunPE.exe 的安装文件,运行后会把自己复制成 RuntimeHost.exe ,并藏进资源管理器中默认不显眼的位置,随后在多个 Windows 自启动位置建立 6 套持久化机制。 部分情况下,这个程序还会通过恶意 PowerShell 脚本落地,并保存为 vlc.exe ,借此冒充 VideoLAN 播放器的可执行文件,降低用户警觉。 为了隐藏行为,这个样本还会使用进程镂空技术,把恶意代码塞进微软签名的 .NET 工具里运行,包括 InstallUtil.exe 。 它还会调用 PowerShell,把自身路径和进程加入微软 Defender 排除列表。与此同时,恶意程序会检查虚拟机环境,并扫描 40 个分析工具进程名,一旦发现就立即退出。 在隐藏阶段完成后,攻击链会下载并执行 3 种矿工模块之一,分别是 gminer、lolMiner 和 SRBMiner-MULTI,这 3 款程序都面向 GPU 挖矿。 IT之家附上参考地址 From poisoned search results to GPU mining: A cryptojacking campaign abusing ScreenConnect and Microsoft .NET utilities
相关推荐
一折买 Miu Miu,谁在做奢侈品牌的"拼多多"?|商业Friday
文|贺哲馨 编辑|乔芊 Judy第一次意识到,原来打折的奢侈品也有准入门槛,是在申请加入On The List的一次特卖活动时。提交申请后的第三天,她依旧没有收
06-28
👁 None
★ 91
36氪首发 | 同济博士从建筑机器人转战煤矿,押注辅助作业的“结构性蓝海”
作者丨欧雪 编辑丨袁斯来 硬氪获悉,矿山机器人公司随擎机器人(下称“随擎”)近期已完成千万元级天使轮融资,投资方为连云港金桥基金。本轮资金将主要用于煤矿井下核心
06-24
👁 None
★ 91
微信AI助手小微,还有许多做不到的事情|产品观察
文|王毓婵 编辑|张雨忻 微信AI助手“小微”正在灰度内测,36氪智能涌现拿到了首批测试资格。先说结论:一些简单操作,小微做得没那么好;一些复杂操作,小微反而做
06-24
👁 None
★ 91
以“高导热+高强韧”镁合金切入机器人等高端制造领域,「宜镁华」完成数千万元天使轮融资|36氪首发
36氪获悉,「宜镁华」近期宣布完成数千万元天使轮融资。本轮融资由星河创投与华中实业集团投资。资金将用于产能建设、研发投入和团队扩充等。
06-23
👁 None
★ 91
深圳230亿IPO敲钟,这两家机构成最大赢家
本文约3000字,建议阅读6分钟 作者 | 彭孝秋 6月22日,深圳海清智元(01392。HK)正式在港交所敲钟上市,此次IPO发行价7。20港元,开盘涨313
06-22
👁 None
★ 91