Chatbot suositteli näytönohjaimen mittaria – lataussivu asensikin kryptolouhijan
Microsoftin tutkijat löysivät kampanjan, jossa hyökkääjät ovat saaneet chatbotit poimimaan vastauksiinsa SEO-myrkytettyjä lataussivuja. Lopullinen kuorma on GPU-louhija, ja kohteena ovat erityisesti tehokoneiden rakentajat ja kryptolouhinnasta kiinnostuneet.
Tiivistelma
Microsoft Defender Experts -tiimi on tunnistanut maaliskuusta 2026 alkaen yli 150 haitallista verkkotunnusta, jotka esiintyvät tuttujen apuohjelmien lataussivuina. Huhtikuussa havaittiin, että uhreja oli ohjattu sivuille myös AI-chatbotin suositusten kautta. Asennuspaketti pudottaa ScreenConnect-etäyhteyden ja sen päälle louhijan.
Mistä kysyt, kun haluat ladata mittarin näytönohjaimen lämpötiloille? Yhä useampi ei avaa enää hakukonetta vaan kirjoittaa kysymyksensä chatbotille. Vastaus tuntuu siistiltä ja auktoritatiiviselta – yksi nimi, yksi linkki.
Juuri siksi se on vaarallinen.
Microsoftin Defender Experts ja Microsoft Defender Security Research Team julkaisivat 26. toukokuuta raportin otsikolla "From poisoned search results to GPU mining". Tutkijat kertovat seuranneensa maaliskuusta lähtien kampanjaa, jossa hyökkääjät ovat rekisteröineet yli 150 haitallista verkkotunnusta. Sivut esiintyvät tuttujen apuohjelmien lataussivuina.
Mukana on nimiä, jotka tehokoneiden omistajat tunnistavat heti: CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack ja PDFgear. Kaikki ovat työkaluja, joita käyttävät juuri ne ihmiset, joiden koneissa on isoja näytönohjaimia ja joiden kiinnostus kryptolouhintaan on keskimääräistä korkeampi. Kohdevalinta ei ole sattumaa.
Huhtikuussa kampanja sai uuden ulottuvuuden. The Hacker News uutisoi 27. toukokuuta havainnoista, joissa uhreja oli ohjattu haitallisille sivuille AI-chatbotin vastauksissa. VirusTotaliin tulleiden näytteiden metadata viittasi chatbot-interaktioihin liikenteen lähteenä.
– Havainto ei tarkoita, että yksittäisellä AI-palvelulla olisi systeeminen ongelma, Microsoftin tutkijat kirjoittavat raportissaan.
Todennäköisemmin chatbot poimii vastaukseensa SEO-myrkytetyn sivun samalla logiikalla kuin hakukone.
Mitä koneella tapahtuu
Hyökkäysketju on suoraviivainen. Käyttäjä etsii järjestelmäapuohjelmaa hakukoneesta tai pyytää chatbotia suosittelemaan sopivaa. Tulos sisältää linkin hyökkääjän kloonisivulle, joka näyttää lähes täydellisesti aidolta valmistajan sivulta.
Lataus on ZIP-paketti. Sen sisällä on aito apuohjelma ja sen viereen pudotettu autorun.dll-tiedosto.
DLL sideloading -tekniikalla haitallinen kirjasto suoritetaan aidon ohjelman käynnistyessä, ja taustalle asennetaan ScreenConnect-niminen RMM-työkalu pysyväksi etäyhteydeksi. Vasta sen jälkeen koneelle pudotetaan varsinainen kuorma: gminer, lolMiner tai SRBMiner-MULTI.
Microsoft Defender tunnistaa kampanjan tiedostot nimillä Trojan:MSIL/CoinMiner!MS ja HackTool:Win64/Malgent!MSR. Uhrien lukumäärää tai chatbottia, jota hyökkäys käytti kanavanaan, Microsoft ei nimennyt.
SEO-myrkytys (SEO poisoning)
Hyökkääjät rakentavat sivun, joka jäljittelee tunnetun ohjelman virallista lataussivua, ja nostavat sen hakutulosten kärkeen mainoksilla, backlinkeillä ja avainsanaspämmillä. Chatbotit lukevat samoja hakutuloksia kuin ihmiset, joten myrkytetty sivu voi päätyä myös tekoälyn vastaukseen.
Miksi suomalaisten kannattaa kiinnostua
Suomessa ChatGPT:llä on satoja tuhansia viikkokäyttäjiä, ja Microsoft 365 Copilot leviää yrityskoneille tasaista tahtia. Suomenkielinen kysely tyyliin "lataa crystaldiskinfo" tuottaa varsin todennäköisesti samoja englanninkielisiä lähteitä kuin englanninkielinen haku, joten suomalainen käyttäjä on aivan yhtä alttiina kuin amerikkalainen kollegansa.
PC-harrastajien ja pienlouhintaa harrastavien yhteisö on Suomessa elinvoimainen. Juuri näiden ihmisten koneissa on myös tehoa, jolle kryptolouhija löytää käyttöä. Ironista kyllä: samanlainen näytönohjain houkuttaa sekä omistajaa että hyökkääjää.
Tunnistusmerkit
- ZIP-paketissa aidon ohjelman vieressä on tuntematon DLL-tiedosto, usein nimellä autorun.dll
- Lataussivu näyttää valmistajan omalta, mutta domain ei vastaa virallista osoitetta (CrystalDiskInfo löytyy osoitteesta crystalmark.info, HWMonitor osoitteesta cpuid.com, FurMark osoitteesta geeks3d.com)
- Koneelle ilmestyy Windows System Health -nimisiä ajastettuja tehtäviä
- Kansio %LocalAppData%\Microsoft\Windows\Caches\D3F4E2A1 on uusi tai outo
- ScreenConnect-prosessi on yhteydessä palvelimeen, jota organisaatiossa ei käytetä
Mitä tehdä
Älä lataa ohjelmistoa suoraan chatbotin antamasta linkistä. Tarkista valmistajan virallinen domain ja mene sinne käsin.
Pidä Windows SmartScreen ja selaimen verkkosuojaus päällä. Ne eivät pysäytä kaikkea, mutta nostavat rimaa.
Jos havaitset edellä mainittuja jälkiä, irrota kone verkosta ja aja kunnollinen virusskannaus. Vaihda samalta koneelta käytetyt salasanat toiselta laitteelta.
Yritysympäristöissä on syytä ottaa käyttöön Microsoft Defenderin attack surface reduction -säännöt, cloud-delivered protection ja EDR-blokkimoodi. Estä myös sellaiset RMM-työkalut, joita organisaatiossa ei käytetä. ScreenConnect on yksi niistä, jotka pitäisi näkyä vain hallitusti.
Epäilyttävistä tapauksista voi ilmoittaa Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
Toistaiseksi käyttäjän ainoa luotettava suoja on vanha sääntö uudessa muodossa: lähde aina valmistajan oikealta sivulta. Chatbotin vastaus voi olla hyvä lähtökohta, mutta linkkiä siitä ei kannata klikata sokeasti. Jää nähtäväksi, miten AI-palvelut alkavat suodattaa myrkytettyjä lähteitä vastauksistaan.