Die Infektionskette beginnt mit klassischer SEO-Poisoning: Wenn Nutzer in Suchmaschinen nach legitimen Systemtools suchen, präsentieren Suchmaschinen durch manipulierte Rankings Links zu schädlichen Websites. Diese Taktik wurde kürzlich um eine neue Dimension erweitert — Anfang April berichteten Sicherheitsforscher, dass auch AI-Chatbots wie ChatGPT oder Claude bei Anfragen zur Software-Installation automatisch auf infizierte Download-Seiten verweisen.
Die Download-Archive werden von der Domain gleeze[.]com bereitgestellt, die bereits für Phishing-Aktivitäten bekannt ist. Die Besonderheit: Das ZIP-Archiv enthält sowohl das legitime Programm als auch eine manipulierte DLL-Datei, die beim Start des harmlosen Programms automatisch geladen wird.
Diese DLL löst eine ausgefeilte Infektionskette aus. Sie nutzt msiexec.exe, um ScreenConnect zu installieren — ein professionelles Remote-Management-Tool, das Angreifern dauerhaften Zugriff auf das System gewährt. Danach wird ein zweites Programm namens SimpleRunPE.exe installiert, das sich unter verschiedenen Namen versteckt (etwa als vlc.exe, um den beliebten VideoLAN-Player zu imitieren) und sechs verschiedene Persistenzmechanismen in Windows-Autostart-Locations einrichtet.
Die Malware nutzt eine Technik namens “Process Hollowing”, um in legitime Microsoft-signierte Binaries wie InstallUtil.exe oder MSBuild.exe einzudringen. Dies ist eine ausgefeilte Anti-Analyse-Taktik: Sie prüft auf Virtual Machines und Analyse-Tools und beendet sich selbst, wenn sie eine Sandbox erkennt. Parallel wird Microsoft Defender konfiguriert, die Malware auf die Ausschlussliste zu setzen.
Nach dieser Verschleierungsphase werden GPU-Mining-Tools wie gminer, lolMiner oder SRBMiner-MULTI heruntergeladen. Diese Programme sind speziell optimiert für Grafikkarten und können deutlich profitabler Kryptowährungen schürfen als CPU-basierte Miner.
Das Besondere dieser Kampagne: Sie konzentriert sich nicht auf Masse, sondern Qualität. Angreifer wählen gezielt Systeme mit hochwertigen GPUs aus, um maximale Mining-Profitabilität pro Rechner zu erreichen. Für betroffene Nutzer und Unternehmen bedeutet dies nicht nur Energieverbrauch und Hardware-Verschleiß, sondern auch erhebliche Sicherheitsrisiken durch den installierten Remote-Access-Tools, das weitere Malware ermöglicht.
Als Schutzmaßnahmen empfehlen Experten, Software nur aus offiziellen Quellen herunterzuladen, aktuelle Patches einzuspielen und Defender-Ausschlüsse regelmäßig zu überprüfen. Das BSI hat technische Indikatoren der Kompromittierung veröffentlicht, um Netzwerk-Administratoren bei der Früherkennung zu unterstützen.