Microsoft varoittaa kryptolouhijasta, joka houkuttelee pelaajia tekoälychatbottien kautta
- Microsoft Defender Experts paljasti tietojenkalastelukampanjan, joka tähtää tehopelaajien näytönohjaimiin.
- Houkutuslinkit on upotettu chatbottien vastauksiin ja SEO-myrkytettyihin hakutuloksiin.
- Haittaohjelma piiloutuu allekirjoitetun Windows-työkalun muistitilaan ja vaikenee, kun konetta käytetään aktiivisesti.
Tehopelaajien näytönohjaimia kaapataan louhintaan poikkeuksellisella menetelmällä, sillä haittaohjelma piiloutuu Microsoftin allekirjoittaman Windows-työkalun muistitilaan ja sammuu aktiivisen pelisession ajaksi. Microsoft Threat Intelligence julkaisi varoituksensa keskiviikkona ja varoitti, että houkutus tulee yhä useammin tekoälychatbottien vastauksista.
Suomalaisen pelaajan tehokkaasta PC:stä on tullut kannattava louhintakohde, ja houkutus kulkee nyt tekoälyn kautta. Microsoft Threat Intelligence ja Microsoft Defender Experts julkaisivat tiistaina varoituksen kampanjasta, jossa hyökkääjät ujuttavat haittaohjelmaa sisältäviä latauslinkkejä chatbottien vastauksiin sekä hakukoneiden kärkituloksiin. Tavoite on yksi ja sama: saada GMinerin kaltainen louhintaohjelma pyörimään näytönohjaimella ilman, että käyttäjä huomaa mitään.
– Tämä kampanja kohdistuu tarkoituksellisesti laitteistoharrastajiin ja pelaajiin, koska tavoitteena on kaapata heidän tehokkaat näytönohjaimensa louhintakäyttöön, Microsoft Threat Intelligence tiivisti varoituksessaan.
Microsoft Threat Intelligence on havainnut kampanjan, jossa hyökkääjät myrkyttävät hakukonetuloksia ja tekoälychatbottien vastauksia houkutellakseen tehopelaajia lataamaan haittaohjelman, joka kaappaa näytönohjaimen kryptolouhintaan.
– Microsoft Threat Intelligence (@msftsecintel) May 27, 2026
Juoni on ovela. Kun käyttäjä pyytää ChatGPT:ltä tai vastaavalta avustajalta latauslinkkiä esimerkiksi HWMonitoriin, tietyissä tilanteissa vastaus ohjaa valedomainiin oikean valmistajan sivun sijaan. Myrkytetyt hakutulokset vahvistavat harhan, jos käyttäjä yrittää vielä varmistaa linkin Googlesta. Kuka edes epäilee linkkiä, jonka oma tekoälyavustaja juuri antoi?
Microsoft listaa kolme tyypillistä naamiota, joiden nimellä haittaohjelmaa levitetään: CrystalDiskInfo, HWMonitor ja FurMark. Kaikki ovat juuri niitä työkaluja, joilla pelaajat säätävät lämpötiloja, mittaavat tuulettimien kierroksia ja stressitestaavat näytönohjaimiaan. Jokainen niistä oletetaan turvalliseksi.
Tekninen kulku on rakennettu välttämään havaitseminen. Lataus tulee ZIP-arkistossa, jonka sisältä laillinen ohjelma käynnistyy DLL-tiedoston avulla. Samalla koneeseen asennetaan ScreenConnect-etähallintaohjelma, joka on lähtökohtaisesti laillinen kaupallinen työkalu. Sen avulla hyökkääjä saa pysyvän pääsyn laitteeseen.
Tämän jälkeen mukautettu .NET-hyötykuorma käynnistää Microsoftin allekirjoittaman Windows-apuohjelman ja injektoi louhintakoodin sen muistitilaan. Lopulta päälle ladataan GMinerin kaltainen GPU-louhija. Hyökkäystekniikan nimi on process hollowing.
Process hollowing
Hyökkääjä käynnistää aidon, Microsoftin allekirjoittaman ohjelman normaalisti, mutta tyhjentää sen muistitilan ja kirjoittaa tilalle oman koodinsa. Käyttöjärjestelmälle prosessi näyttää luotettavalta Windows-työkalulta, vaikka sisällä pyörii louhija.
Häivetekniikan viimeistely on se osa, jonka takia uhri ei huomaa mitään. Louhija seuraa näytönohjaimen kuormaa ja käyttäjän tyhjäkäyntiä reaaliajassa. Kun pelaaja avaa raskaan pelin tai videoeditorin, ohjelma sammuttaa louhinnan välittömästi ja jatkaa vasta koneen jäätyä taas tyhjäkäynnille. Suorituskykyä ei siis menetetä juuri silloin, kun pelaaja sitä tarvitsisi.
Lisäksi PowerShell-komennoilla lisätään poikkeuksia virustorjuntaan, jotta louhintabinaarit eivät päädy karanteeniin. Defender Experts -tiimi raportoi, että samaa kaavaa toistetaan useissa eri infektioissa pienillä muunnelmilla.
Miksi juuri pelaaja-PC kannattaa kaapata? Yksi koneen näytönohjain tuottaa louhinnassa moninkertaisen tehon verrattuna toimistolaitteistoon, ja jos kone seisoo yöt päällä, palkka kertyy hyökkääjälle ilman, että hänen tarvitsee maksaa sähkölaskua. Microsoft vahvistaa, että Microsoft Defender Antivirus ja Microsoft Defender for Endpoint havaitsevat ja estävät kampanjaan liittyvät uhat.
Tällä hetkellä Microsoftin tiedote on ainoa julkinen lähde kampanjasta. Riippumaton tietoturvayhteisö, kuten BleepingComputer ja CERT-FI, eivät ole vielä julkaisseet omia analyysejaan, joten yksityiskohdat saattavat tarkentua tulevina päivinä.
Suomalaiselle pelaajalle ohje on kuitenkin yksinkertaisempi kuin tekninen ketju antaisi ymmärtää. Työkalut haetaan suoraan valmistajan kotisivulta, ei chatbotin syöttämästä linkistä. Verkkotunnus kannattaa tarkistaa kirjain kerrallaan ennen lataamista.
Toistaiseksi valedomainit ovat ketjun helpoin lenkki välttää.
