微软在5月26日发布的一份研究报告，给全球高性能Windows电脑用户提了个醒：一场精心策划的加密挖矿攻击，正把目标对准你们的设备。

这场攻击的“诱饵”选得相当刁钻。攻击者伪装成以下常用工具软件：

• CrystalDiskInfo
• HWMonitor
• Display Driver Uninstaller
• FurMark
• K-Lite Codec Pack
• PDFgear

用户在网上搜索这些工具时，很可能首先看到的是经过SEO（搜索引擎优化）投毒、排名被恶意推高的链接。

更值得注意的是，今年4月已有部分报告指出，当用户向AI助手咨询软件下载建议时，生成的结果里也混入了攻击者的域名。

攻击载荷的伪装与分发

恶意软件以ZIP压缩包的形式分发，托管在gleeze[.]com的子域名上。

这个压缩包暗藏玄机：里面既包含了真实工具的合法可执行文件，也夹带了一个会被自动加载的恶意DLL文件。

当用户启动那个看似正常的软件时，恶意DLL便开始行动。它会调用系统进程msiexec.exe，安装一个伪装成vcredist_x64.dll的ScreenConnect远程访问组件。

这一步得手，攻击者就等于拿到了后续控制电脑的“钥匙”。

建立持久化控制与深度隐藏

获得远程会话控制权后，攻击者会投放一个名为SimpleRunPE.exe的安装文件。

这个文件运行后，会自我复制为RuntimeHost.exe，并藏身于资源管理器中默认不显眼的位置。

为了确保能长期潜伏，它还会在多个Windows自启动位置建立多达6套持久化机制。

隐藏手段不止于此。在某些情况下，该程序会通过恶意PowerShell脚本落地，并保存为vlc.exe，以此冒充知名的VideoLAN播放器可执行文件，进一步降低用户的警惕性。

高级逃逸技术

为了逃避检测，攻击样本采用了更高级的“进程镂空”技术，将恶意代码注入到微软签名的.NET工具（如InstallUtil.exe）中运行。

同时，它会调用PowerShell，将自身路径和进程添加到微软Defender的排除列表里。

在行动前，它还会仔细检查是否处于虚拟机环境，并扫描多达40个常见分析工具的进程名，一旦发现“不对劲”，就立即退出，不留痕迹。

最终目标：GPU挖矿

当所有隐藏和反检测步骤完成后，攻击链条的最终环节启动：下载并执行三种挖矿模块之一。

这些模块分别是：

• gminer
• lolMiner
• SRBMiner-MULTI

它们有一个共同点——都是专门针对GPU（显卡）进行加密货币挖矿的程序。

这意味着，高性能电脑的强劲显卡算力，将在用户毫不知情的情况下，被窃取用于为攻击者牟利。

《夸克》非常好用的免费AI浏览器

下载APP查看