Malware Mining GPU Menyebar Lewat SEO Poisoning dan Manipulasi Rekomendasi Chatbot AI

Aktor ancaman siber dilaporkan tengah meluncurkan kampanye pencurian daya komputasi (cryptojacking) berskala masif yang secara spesifik membidik perangkat komputer berspesifikasi tinggi (high-performance PCs). Kampanye berbahaya ini disebarkan melalui operasi peracunan hasil pencarian (SEO poisoning) yang terkoordinasi, serta memanipulasi rekomendasi tautan pada berbagai layanan chatbot berbasis kecerdasan buatan (AI).

Metode ini menandai babak baru dalam strategi distribusi malware, di mana peretas tidak lagi hanya mengandalkan mesin pencari konvensional tetapi juga mengeksploitasi jawaban otomatis dari asisten AI pintar.

Memanfaatkan Utilitas Populer Pemilik PC Spesifikasi Tinggi

Berdasarkan temuan dari tim peneliti keamanan Microsoft, infeksi bermula ketika pengguna mencari perangkat lunak utilitas yang umumnya sering dipasang oleh para pemilik PC dengan kartu grafis (GPU) bertenaga besar. Beberapa aplikasi yang dipalsukan di antaranya:

• CrystalDiskInfo / CrystalDiskMark (pemantau performa penyimpanan)
• HWMonitor (pemantau suhu dan tegangan komponen)
• Display Driver Uninstaller / DDU (penghapus driver grafis)
• FurMark (alat uji beban kartu grafis / stress testing)
• K-Lite Codec Pack (paket pemutar multimedia)
• PDFgear (pembaca dan editor PDF)

Melalui teknik SEO poisoning, situs web palsu yang dikendalikan penyerang berhasil didongkrak posisinya agar muncul di halaman utama hasil pencarian Google atau Bing. Selain itu, laporan sejak April lalu menunjukkan bahwa pengguna juga diarahkan ke domain berbahaya tersebut setelah berinteraksi dengan asisten AI. Ketika pengguna meminta rekomendasi tautan unduhan resmi untuk utilitas tersebut kepada chatbot AI (seperti ChatGPT), kecerdasan buatan tersebut menghasilkan respons yang memuat tautan berbahaya milik penyerang karena data referensinya telah termanipulasi.

Rantai Infeksi Siluman dan Teknik Process Hollowing

Tautan unduhan palsu tersebut menyediakan file arsip ZIP yang di-host di subdomain milik gleeze[.]com (domain yang sebelumnya sering terlibat dalam aktivitas phishing). Di dalam arsip tersebut, terdapat file eksekusi (executable) resmi dari aplikasi yang dicari, namun dibundel bersama file DLL berbahaya.

Ketika pengguna menjalankan aplikasi legal tersebut, sistem akan otomatis memuat DLL berbahaya itu lewat teknik DLL sideloading. Rantai infeksi teknis yang ditemukan oleh Microsoft meliputi langkah-langkah berikut:

1. Pemasangan ScreenConnect: DLL berbahaya memanggil fungsi msiexec.exe untuk memasang paket utilitas manajemen jarak jauh legal bernama ScreenConnect. Dengan alat ini, peretas mendapatkan akses kendali penuh jarak jauh (persistent access) yang stabil ke komputer korban.
2. Mekanisme Pertahanan Persisten: Setelah sesi ScreenConnect terbentuk, penyerang menjatuhkan file biner bernama SimpleRunPE.exe yang akan menduplikasi diri sebagai RuntimeHost.exe di dalam folder tersembunyi Windows Explorer. File ini bertugas membangun enam mekanisme persisten berbeda di berbagai lokasi Windows autostart agar malware tetap berjalan meski komputer dinyalakan ulang. Dalam beberapa kasus, file ini menyamar menggunakan nama vlc.exe untuk mengelabui pengguna.
3. Penyusupan ke Proses Microsoft Resmi (Process Hollowing): Untuk menghindari deteksi sistem keamanan, malware melakukan teknik process hollowing (mengosongkan memori proses legal dan mengisinya dengan kode berbahaya) ke dalam biner .NET resmi yang telah ditandatangani digital oleh Microsoft, seperti InstallUtil.exe, RegAsm.exe, RegSvcs.exe, MSBuild.exe, atau AppLaunch.exe.
4. Manipulasi Antivirus: Guna memastikan operasinya tidak terganggu, malware secara otomatis memanggil skrip PowerShell untuk memasukkan jalur folder dan nama prosesnya ke dalam daftar pengecualian (exclusion list) pada Windows Defender.
5. Fitur Anti-Analisis: Sebelum mengeksekusi modul utamanya, malware mendeteksi apakah ia berjalan di lingkungan mesin virtual (VM) serta memindai 40 nama proses yang teridentifikasi sebagai aplikasi analisis keamanan siber. Jika salah satunya terdeteksi, malware akan langsung menghentikan diri secara otomatis.

Strategi Maksimalkan Keuntungan Tambang GPU

Begitu tahap penyusupan ke dalam utilitas Microsoft yang tepercaya selesai, malware akan mengunduh dan menjalankan salah satu dari tiga program penambang kripto (mining modules) berbasis kartu grafis, yaitu: gminer, lolMiner, atau SRBMiner-MULTI.

Microsoft menyoroti bahwa kampanye cryptojacking ini sangat unik karena strateginya sengaja direkayasa dari bawah ke atas bukan untuk mengejar kuantitas atau volume infeksi massal, melainkan untuk mengejar kualitas target. Dengan menargetkan para pemilik PC berspesifikasi tinggi (seperti kalangan gamers, kreator konten, dan pengembang teknologi), peretas dapat memaksimalkan hasil penambangan cryptocurrency per perangkat yang berhasil dikompromi secara eksponensial.

Para administrator jaringan dan pengguna PC disarankan untuk selalu mengunduh perangkat lunak langsung dari situs web resmi orisinal pabrikan, memverifikasi tanda tangan digital (digital signature) pada file installer, serta memanfaatkan indikator kompromi (indicators of compromise) yang dirilis oleh Microsoft guna melakukan pemindaian mandiri pada sistem.