MalwareHackerangriffeKI-Sicherheit

KI-Chatbots als Einfallstor: Cryptojacking-Kampagne nutzt LLM-basierte Systeme

Von CyberDeutsch Redaktion
KI-Chatbots als Einfallstor: Cryptojacking-Kampagne nutzt LLM-basierte Systeme
Zusammenfassung

Microsoft hat eine aktive Cryptojacking-Kampagne aufgedeckt, die künstliche Intelligenz und Chatbots als Köder missbraucht, um Nutzer auf Malware-Websites zu leiten. Die Bedrohung funktioniert dabei deutlich raffinierter als typische Kryptomining-Angriffe: Statt wahllos viele Systeme zu infizieren, konzentrieren sich die Angreifer gezielt auf Rechner mit leistungsstarken GPUs, um den Mining-Ertrag zu maximieren. Das Besondere ist die neue Verteilungsmethode – statt über manipulierte Suchmaschinenergebnisse werden Nutzer nun durch KI-Chatbots auf gefälschte Download-Seiten für legitime Software wie CrystalDiskInfo oder HWMonitor weitergeleitet. Nach der Installation folgt eine mehrstufige Infektionskette, die nicht nur Cryptomining installiert, sondern auch persistente Fernzugriffe über ScreenConnect ermöglicht. Dies eröffnet Angreifern Tore für Datenlecks, Ransomware oder Lateralbewegungen im Netzwerk. Für deutsche Nutzer und Unternehmen ist dies besonders relevant, da diese Angriffsmethode zeigt, wie Cyberkriminelle moderne KI-Tools ausnutzen und traditionelle Sicherheitsmaßnahmen umgehen. Insbesondere Firmen mit wertvollen IT-Infrastrukturen und Privatnutzer sollten vorsichtig bei Software-Empfehlungen von Chatbots sein und regelmäßig ihre Systeme auf verdächtige Aktivitäten überprüfen.

Die Gefahr liegt in der raffinierten Taktik: Nutzer suchen über KI-Chatbots nach legitimen Systemtools und erhalten in den generierten Antworten Links zu kompromittierten Domänen. Microsoft hat diese Entwicklung im April 2026 dokumentiert und spricht von einer neuen Form der “AI Search Result Poisoning” – einer Erweiterung des klassischen SEO-Poisoning auf KI-Systeme. Über 150 Malware-Domänen wurden bereits identifiziert, die über die gleeze[.]com-Infrastruktur gehostet werden.

Die Infektionskette folgt einem ausgefeilten Schema: Opfer laden eine ZIP-Datei herunter, die ein legitimes Programm sowie eine versteckte DLL-Datei (“autorun.dll”) enthält. Diese DLL sideloaded beim Start des Programms nach und installiert über “msiexec.exe” eine weitere Malware namens “vcredist_x64.dll”. Es handelt sich um ein Installationspaket für ScreenConnect – eine Fernzugriffssoftware, die Kriminellen Dauerzugriff auf das infizierte System verschafft.

Sobald ScreenConnect aktiv ist, verbindet sich die Malware mit dem Attacker-Server unter 193.42.11[.]108. Von dort wird “SimpleRunPE.exe” geladen, die Persistenz-Mechanismen einrichtet und Microsoft Defender manipuliert. Die Malware nutzt Process Hollowing, um Mining-Code unter der Identität eines vertrauenswürdigen Microsoft-Binaries auszuführen. Unterstützt werden drei Mining-Programme: gminer, lolMiner und SRBMiner-MULTI.

Das Ziel: GPU-Mining mit maximaler Effizienz. Die Angreifer konzentrieren sich bewusst auf Systeme mit leistungsstarken Grafikkarten statt wahllos viele schwache Geräte zu befallen. Damit nicht genug – die Malware kann auch Remote Access aufrechterhalten für Datendiebstahl, Lateral Movement und Ransomware-Deployment. Dies ist besonders für Behörden und kritische Infrastrukturen in Deutschland relevant, die vom BSI strikte Sicherheitsanforderungen haben.

Microsoft betont: Diese Kampagne zeigt, wie Threat Actors traditionelle Social-Engineering-Taktiken an moderne KI-Systeme anpassen. Die Kombination aus KI-gestützter Lieferung, Software-Impersonation und persistentem Zugriff markiert eine Eskalation der Cyber-Bedrohungen. Für deutsche Nutzer und Unternehmen gilt: Seien skeptisch bei KI-Chatbot-Empfehlungen zu Software-Downloads, verwenden Sie offizielle Downloadquellen und führen Sie regelmäßige Defender-Scans durch.

Ähnliche Artikel