Uma campanha sofisticada de criptomineração está transformando buscas comuns por software em armadilhas digitais, explorando a confiança dos usuários em portais de utilitários populares. Hackers estão direcionando usuários que procuram ferramentas de PC legítimas, induzindo-os a baixar arquivos contendo malware que mina criptomoedas utilizando a GPU do sistema infectado. A Microsoft identificou esta campanha e publicou suas descobertas em maio de 2026, revelando uma infraestrutura maliciosa que se expandiu rapidamente.
Descoberta e Escopo da Campanha
Os atacantes construíram uma rede de mais de 150 sites de download falsos que imitam fielmente portais de utilitários confiáveis. Estes sites se passam por programas bem conhecidos como CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack e PDFgear. Qualquer pessoa que visite um desses sites e clique no botão de download acaba recebendo um arquivo ZIP contendo tanto o software legítimo quanto um arquivo malicioso oculto.
O que torna esta campanha particularmente alarmante é a sua evolução para vetores de entrega que muitos usuários consideram mais confiáveis. Em abril de 2026, pesquisadores observaram usuários recebendo links para domínios controlados por atacantes diretamente de recomendações de chatbots de IA ao solicitar sugestões de download de software. Isso marca uma mudança perturbadora além da manipulação tradicional de mecanismos de busca, explorando a confiança depositada em assistentes inteligentes.
Vetor de Infecção e Exploração Técnica
A infecção começa no momento em que um usuário baixa e executa o que parece ser um instalador de utilitário legítimo. O arquivo ZIP contém o aplicativo real ao lado de um arquivo rogue chamado autorun.dll, que carrega automaticamente quando o programa legítimo é iniciado através de uma técnica conhecida como DLL Sideloading. Este método não requer exploração de software e muitas vezes deixa nenhum rastro visível na tela.
Uma vez que o autorun.dll é executado, ele libera um segundo arquivo malicioso chamado vcredist_x64.dll usando o Windows Installer, que serve como um instalador empacotado do ScreenConnect. Após o ScreenConnect estar instalado, a máquina infectada se conecta a um servidor controlado pelo atacante em 193.42.11[.]108. Através deste canal de acesso remoto, os atacantes enviam um executável chamado SimpleRunPE.exe para o sistema da vítima.
O SimpleRunPE.exe realiza o trabalho pesado a partir daí. Ele configura persistência usando chaves de execução do Registro e tarefas agendadas, ajusta exclusões de ferramentas de segurança para permanecer oculto e usa process hollowing para injetar código de mineração em um binário assinado pela Microsoft. Três mineradores de GPU podem ser implantados dependendo da configuração: gminer, lolMiner e SRBMiner-MULTI.
Evidências e Limites da Ameaça
O malware também monitora ferramentas de análise como Windows Task Manager, Process Hacker e Process Explorer. No momento em que detecta qualquer uma delas em execução, ele pausa imediatamente a mineração para evitar suspeitas. Assim que essas ferramentas são fechadas, a mineração retoma silenciosamente em segundo plano. Além do motivo financeiro da mineração de criptomoedas, os atacantes também instalam o ScreenConnect em máquinas comprometidas para manter acesso remoto persistente.
Isso abre a porta para atividades de acompanhamento muito mais danosas, incluindo roubo de dados, movimento lateral através de redes corporativas e até implantação de ransomware. A campanha ainda está ativa e seu alcance continua a crescer. A lógica é calculada: infectar menos máquinas, mas extrair o máximo valor de mineração de cada uma, focando em usuários que provavelmente possuem placas gráficas de alto desempenho, incluindo gamers, entusiastas de hardware e desenvolvedores de IA.
Medidas de Mitigação Recomendadas
As equipes de segurança devem procurar ativamente sessões e instalações não autorizadas do ScreenConnect. A Microsoft recomenda monitorar picos incomuns de uso de GPU em desktops e servidores como um sinal precoce de mineração não autorizada. Correlacionar dados de referrer da web e telemetria de endpoint pode ajudar as equipes a conectar os pontos mais rapidamente ao investigar alertas.
Os usuários devem baixar software apenas diretamente de sites oficiais de fornecedores e tratar qualquer link sugerido por uma ferramenta de IA com o mesmo ceticismo que aplicariam a qualquer resultado de pesquisa. Defensores também devem configurar alertas para arquivos como SimpleRunPE.exe e observar DLLs nomeadas autorun.dll ou vcredist_x64.dll aparecendo em diretórios inesperados.
Bloquear domínios maliciosos conhecidos e monitorar o tráfego DNS para subdomínios de gleeze[.]com pode ajudar a cortar a infraestrutura de entrega da campanha antes que um download ocorra. A tabela abaixo resume os principais indicadores de comprometimento (IoCs) identificados:
Indicadores de Comprometimento (IoCs)
| Tipo | Indicador | Descrição |
|---|---|---|
| Endereço IP | 193.42.11[.]108 | Servidor C2 do ScreenConnect controlado pelo atacante |
| Nome de Arquivo | autorun.dll | DLL maliciosa carregada via executável de utilitário legítimo |
| Nome de Arquivo | vcredist_x64.dll | DLL de segunda etapa; instalador do ScreenConnect empacotado |
| Nome de Arquivo | SimpleRunPE.exe | Dropper responsável por persistência, exclusões do Defender e process hollowing |
| Nome de Arquivo | vlc.exe | Binário disfarçado usado em infecções selecionadas (dropper de mineração renomeado) |
| Domínio | gleeze[.]com (subdomínios) | Infraestrutura de hospedagem específica da campanha para arquivos ZIP maliciosos |
| Ferramenta Mineradora | gminer | Minerador de criptomoedas de GPU implantado como payload final |
| Ferramenta Mineradora | lolMiner | Minerador de criptomoedas de GPU implantado como payload final |
| Ferramenta Mineradora | SRBMiner-MULTI | Minerador de criptomoedas de GPU implantado como payload final |
O que os CISOs devem fazer imediatamente
Para executivos de segurança, a prioridade é a visibilidade de acesso remoto não autorizado. A implementação de controles de acesso baseados em função (RBAC) rigorosos para ferramentas de acesso remoto como o ScreenConnect é essencial. Além disso, a adoção de soluções de detecção de comportamento (EDR/XDR) que possam identificar anomalias de uso de GPU e tráfego de rede incomum é crítica. A conscientização dos usuários sobre a verificação de URLs e a desconfiança de recomendações de IA para downloads de software deve ser reforçada imediatamente.
Perguntas Frequentes
Como sei se meu sistema foi infectado? Verifique o Gerenciador de Tarefas por uso incomum de GPU e processos desconhecidos. Use ferramentas de segurança para escanear arquivos como autorun.dll em diretórios de aplicativos.
O ScreenConnect é malicioso? Não, o ScreenConnect é uma ferramenta legítima de acesso remoto. Neste caso, os atacantes a usam para manter persistência após a infecção inicial.
Como prevenir ataques futuros? Baixe software apenas de fontes oficiais, mantenha seus sistemas atualizados e utilize soluções de segurança que monitorem o comportamento de processos e o uso de recursos do sistema.