Pesquisadores da Microsoft identificaram uma campanha que distribui vírus por meio de sites falsos de download de utilitários populares. Esses sites aparecem no topo dos resultados de busca no navegador, promovidos tanto por manipulação de resultados de busca quanto por recomendações geradas por assistentes de inteligência artificial.
A operação, descoberta pela equipe Microsoft Defender Experts, tem como alvo sistemas com placas de vídeo de alto desempenho para minerar criptomoedas às custas da vítima – algo chamado de cryptojacking. Isso porque a mineração exige processamento intensivo, especialmente desses componentes, que costumam ser equipados em computadores gamer e estações de trabalho potentes. Quem arca com o consumo de energia e o desgaste do equipamento é a vítima, enquanto o atacante embolsa os lucros.
Atacantes miraram usuários com hardware valioso
Curiosamente, a campanha não busca infeccionar o maior número possível de máquinas. Segundo os pesquisadores, os criminosos escolheram deliberadamente imitar ferramentas populares entre entusiastas de hardware, como CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack e PDFgear.
Esses programas são muito usados por pessoas que constroem e monitoram PCs de alto desempenho, justamente o perfil de usuário mais provável de ter uma GPU potente. Basicamente, os atacantes foram atrás do hardware mais lucrativo para a mineração.
Sites falsos nos resultados de busca e em respostas de chatbots
A infecção começa quando o usuário pesquisa por um desses utilitários. Sites maliciosos controlados pelos atacantes aparecem entre os primeiros resultados, graças a uma operação coordenada de envenenamento de SEO. Essa técnica consiste na manipulação dos mecanismos de busca para que links maliciosos ganhem destaque nos resultados.
Em abril de 2026, a Microsoft registrou algo novo nessa cadeia. Usuários que pediram recomendações de download a assistentes baseados em inteligência artificial também receberam links para os domínios maliciosos nas respostas geradas. A empresa identificou metadados de tráfego no VirusTotal sugerindo interações com chatbots como contexto de referência para visitas a esses sites.
A Microsoft deixou claro que o episódio não indica um problema sistêmico em nenhum serviço de IA específico. Ainda assim, o caso representa uma extensão do envenenamento de SEO para além dos mecanismos de busca tradicionais.
O download traz um programa legítimo e um malware escondido
Ao clicar no botão de download no site falso, o usuário recebe um arquivo ZIP hospedado em um subdomínio do gleeze[.]com, domínio associado no passado a páginas de phishing. Dentro do arquivo estão dois itens. O primeiro é o executável legítimo do utilitário que o usuário queria baixar. O segundo é uma DLL maliciosa chamada autorun.dll.
Quando o usuário abre o programa legítimo, ele carrega automaticamente a DLL maliciosa junto. Essa técnica se chama DLL sideloading e não exige nenhuma exploração de vulnerabilidade. Para a vítima, tudo parece normal.
ScreenConnect instala acesso remoto persistente na máquina
A DLL maliciosa usa o instalador nativo do Windows para colocar outro arquivo na máquina, disfarçado de pacote de instalação do Visual C++. Esse arquivo na verdade instala o ScreenConnect, uma ferramenta legítima de acesso remoto usada por administradores de TI.
Com o ScreenConnect instalado, os atacantes ganham acesso completo à máquina da vítima. A partir daí, entregam um executável chamado SimpleRunPE.exe, que a Microsoft acredita ser uma versão modificada de um projeto público de demonstração de esvaziamento de processo no GitHub.
Esvaziamento de processo é uma técnica em que o malware injeta código malicioso dentro de um processo legítimo já em execução. Isso faz com que o código malicioso rode disfarçado de um programa confiável, dificultando a detecção.
Malware cria seis mecanismos de persistência e se esconde do antivírus
O SimpleRunPE.exe se copia como RuntimeHost.exe em uma pasta oculta com o identificador D3F4E2A1 e estabelece seis mecanismos de persistência. Isso inclui três tarefas agendadas, duas chaves de registro e um atalho na pasta de inicialização do Windows. O objetivo é garantir que o malware sobreviva a reinicializações e tentativas de remoção.
O malware também usa o PowerShell para adicionar seus arquivos e processos à lista de exclusões do Microsoft Defender, além de verificar se está rodando em um ambiente de análise. Se detectar máquinas virtuais ou ferramentas de análise como o Wireshark, o IDA ou o x64dbg, encerra a execução imediatamente.
Mineradores de GPU são baixados e executados em silêncio
Com o esvaziamento de processo concluído, o malware baixa e executa um dos três programas de mineração suportados pela campanha. São eles o gminer, o lolMiner e o SRBMiner-MULTI, todos projetados para usar a GPU. O minerador é pausado automaticamente quando detecta que o usuário está utilizando a placa de vídeo para jogos ou outras tarefas pesadas.
A Microsoft identificou mais de 150 domínios maliciosos ativos desde março de 2026 vinculados à campanha. A empresa recomenda manter a proteção baseada em nuvem do Microsoft Defender ativada, habilitar o modo de bloqueio do EDR e ativar as regras de redução de superfície de ataque para mitigar o risco.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.