Microsoft waarschuwt voor een actieve cryptojacking-campagne waarbij AI-chatbots gebruikers naar kwaadaardige downloadsites leiden. Aanvallers beheren inmiddels meer dan 150 nepwebsites die populaire Windows-tools zoals CrystalDiskInfo, HWMonitor en DDU imiteren.
Voor het eerst is publiekelijk vastgesteld dat AI-chatbots naast zoekmachines worden misbruikt als distributiekanaal voor malware. De malware maakt gebruik van DLL-sideloading, waardoor traditionele patching en kwetsbaarheidsbeheer weinig bescherming bieden.
Na installatie worden cryptominers zoals gminer, lolMiner en SRBMiner-MULTI ongemerkt geactiveerd om GPU-capaciteit te misbruiken. Daarnaast installeren aanvallers ScreenConnect voor permanente externe toegang tot het systeem.
Hierdoor kan de aanval later worden uitgebreid naar datadiefstal, laterale bewegingen of ransomware.
Het grootste risico zit in het vertrouwen dat gebruikers hebben in AI-antwoorden, die vaak als betrouwbaarder worden gezien dan zoekresultaten.
Organisaties moeten AI-aanbevelingen behandelen als onbevestigde externe bronnen en software uitsluitend via officiële leveranciers laten downloaden.
Deze campagne markeert de opkomst van een nieuw dreigingsmodel: niet langer SEO-poisoning, maar AI Recommendation Poisoning als aanvalsvector.
