Как понять, что на компьютере работает майнер?

Частые признаки — высокий шум вентиляторов, постоянная нагрузка на GPU, тормоза в обычных задачах и странные процессы в автозагрузке. Но лучше не гадать: проверьте диспетчер задач, автозапуск и журналы защиты.

Почему опасно скачивать утилиты из поиска?

Злоумышленники умеют поднимать поддельные страницы в выдаче и подменять настоящие загрузки. Внешне файл может выглядеть привычно, но внутри уже будет вредоносная библиотека или загрузчик.

Может ли чат-бот ошибиться со ссылкой на скачивание?

Да. В этой кампании исследователи зафиксировали, что вредоносные домены попадали и в ответы ИИ-помощников. Поэтому ссылку стоит перепроверять отдельно, а не запускать файл сразу после ответа.

Майнер под утилиты и поисковую выдачу

Вредоносная кампания бьёт по системам с мощными видеокартами и маскируется под загрузки популярных утилит. Исследователи Microsoft выяснили, что злоумышленники продвигают поддельные страницы через SEO poisoning — отравление поисковой выдачи — и даже подсовывают вредные ссылки через подсказки чат-ботов.

Пользователь ищет, например, CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack или PDFgear — и попадает на фальшивую страницу. Дальше на машину ставят майнеры для GPU, а для закрепления используют ScreenConnect, легитимный инструмент удалённого управления.

История инцидента

Схема строится вокруг обычного сценария: человек ищет полезную программу, скачивает архив и не замечает подмены. Внутри лежит настоящий исполняемый файл утилиты и вредоносная библиотека DLL, которая запускается вместе с ним.

По данным Microsoft, архив размещали на поддомене gleeze[.]com, который уже связывали с фишинговыми страницами. После запуска вредоносная библиотека вызывает msiexec.exe, чтобы поставить пакет для ScreenConnect, а потом злоумышленник получает устойчивый доступ к компьютеру.

Отдельный тревожный момент — роль поисковых систем и чат-ботов. В апреле исследователи заметили, что часть пользователей попадала на вредоносные домены после общения с ИИ-помощниками, которые выдавали ссылки в сгенерированных ответах.

Что пошло не так в защите

Авторы кампании хорошо понимают, как работает доверие к поиску. Они поднимают свои страницы в выдаче и бьют в узкую аудиторию — владельцев производительных машин, где майнинг приносит больше прибыли.

Дальше вредоносная программа ведёт себя как опытный злоумышленник. Она создаёт несколько механизмов автозапуска, прячется под названия вроде RuntimeHost.exe или vlc.exe, проверяет виртуальные машины и ищет около 40 процессов с инструментами анализа. Если видит песочницу или диагностику, она завершает работу.

Ещё одна слабая точка — излишнее доверие к «похожим» файлам. Пользователь видит знакомое имя утилиты и скачивает архив, не проверяя источник. Именно так и работают атаки, о которых мы уже писали в разборе подмены тегов в Laravel Lang: злоумышленник ставит ловушку там, где человек меньше всего ждёт подвоха.

После закрепления на машине майнеры gminer, lolMiner или SRBMiner-MULTI начинают грузить графический процессор. Microsoft отдельно отмечает, что кампания нацелена не на массовость, а на максимальную прибыль с одного заражённого устройства.

Уроки для читателя

Главный вывод простой: источник загрузки важнее названия файла. Если вы ищете драйвер, кодек или диагностическую утилиту, скачивайте её только с сайта разработчика или из магазина, которому доверяете.

Второй вывод — поисковая выдача больше не равна безопасности. SEO-отравление уже давно стало рабочим инструментом атакующих, а генеративные ИИ-сервисы добавили ещё один канал подмены. Схожую логику мы видели и в истории с голосовым фишингом у Charter: злоумышленник не взламывает технологию, а ломает привычку доверять.

Третий вывод касается корпоративной среды. Если на рабочей станции внезапно выросла нагрузка на GPU, а система начала вести себя странно, это повод не перезагружать компьютер «на всякий случай», а проверить процессы, автозапуск и журналы безопасности.

Практические выводы и чек-лист

Ниже — короткий список, который поможет сократить риск заражения и быстрее заметить проблему.

Проверяйте адрес сайта перед загрузкой утилиты, особенно если ссылка пришла из поиска.
Скачивайте драйверы, кодеки и системные инструменты только с официальных страниц разработчиков.
Не доверяйте первому ответу чат-бота, если он предлагает скачать файл: перепроверьте источник вручную.
Следите за необычной загрузкой GPU и вентиляторов на ПК — майнеры часто выдают себя именно так.
Обновляйте Microsoft Defender и не отключайте защитные проверки без крайней необходимости.
Если вы часто работаете в публичных сетях, рассмотрите [дополнительный слой шифрования трафика]https://freedome.space как опцию для личных устройств.
На корпоративных компьютерах ограничьте запуск неизвестных DLL и следите за удалёнными инструментами администрирования.
Если система уже странно себя ведёт, проверьте автозагрузку, список служб и активные сетевые соединения.
Сохраняйте резервные копии важных данных — это не убережёт от заражения, но сократит ущерб.

Если коротко: не путайте удобный поиск с безопасным источником. В этой кампании злоумышленники сделали ставку на привычку спешить — и именно она дала им доступ к машинам.