微软披露新型 GPU 挖矿攻击！高端 GPU 用户成为重点目标

　　系统之家 5 月 28 日最新消息，微软在 5.26 日发布紧急安全报告，警告一场精准瞄准高性能 Windows 10/11 电脑的加密挖矿攻击正在全球蔓延。攻击者手段极其隐蔽，伪装成你常用的硬盘检测、显卡跑分、驱动卸载工具。启动软件后，恶意程序会在后台悄悄运行，不仅占用大量 GPU 资源导致电脑卡顿发热，还会获取系统最高权限，随时可能窃取你的个人信息和重要文件。

　　在诱导方面，微软称攻击者针对高性能电脑，伪装成 CrystalDiskInfo、HWMonitor、Display Driver Uninstaller、FurMark、K-Lite Codec Pack 和 PDFgear 等常用软件。

　　微软称，用户搜索这些工具后，可能先看到被 SEO 投毒推高排名的恶意链接。还有 4 月的部分报告显示，用户向 AI 助手询问软件下载建议后，生成结果里也出现了攻击者域名。

　　恶意下载包以 ZIP 压缩文件形式分发，托管在 gleeze [.]com 的子域名上。微软指出，这个压缩包会同时包含真实工具的合法可执行文件，以及一个会被自动加载的恶意 DLL。

　　用户启动看似正常的软件后，恶意 DLL 随即调用 msiexec.exe，安装伪装成 vcredist_x64.dll 的 ScreenConnect 远程访问组件，从而让攻击者拿到后续控制权。

　　拿到远程会话后，攻击者会投放名为 SimpleRunPE.exe 的安装文件，运行后会把自己复制成 RuntimeHost.exe，并藏进资源管理器中默认不显眼的位置，随后在多个 Windows 自启动位置建立 6 套持久化机制。

　　部分情况下，这个程序还会通过恶意 PowerShell 脚本落地，并保存为 vlc.exe，借此冒充 VideoLAN 播放器的可执行文件，降低用户警觉。

　　为了隐藏行为，这个样本还会使用进程镂空技术，把恶意代码塞进微软签名的 .NET 工具里运行，包括 InstallUtil.exe。

　　它还会调用 PowerShell，把自身路径和进程加入微软 Defender 排除列表。与此同时，恶意程序会检查虚拟机环境，并扫描 40 个分析工具进程名，一旦发现就立即退出。

　　在隐藏阶段完成后，攻击链会下载并执行 3 种矿工模块之一，分别是 gminer、lolMiner 和 SRBMiner-MULTI，这 3 款程序都面向 GPU 挖矿。

　　相关阅读

　　《微软为确认安全启动证书更新状态新增可视化警告功能》

　　《微软发布 Win11 24H2 / 25H2 五月可选更新补丁 KB5089573！》

　　《曝光微软 Win11 今年 AI 规划！计划上线多个工具》

　　以上是系统之家提供的最新资讯，感谢您的阅读，更多精彩内容请关注系统之家官网。