CibersegurançaNotícias

Malware de mineração de GPU usa IA e SEO falso

Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Seguir
Imagem com criptomoeda

Nova campanha de cryptojacking usa SEO falso e até IA para infectar PCs gamers com mineradores ocultos.

O avanço do malware de mineração de GPU ganhou um novo capítulo preocupante em 2026. Uma campanha sofisticada de cryptojacking está explorando o envenenamento de SEO e até respostas geradas por chatbots de inteligência artificial para infectar computadores gamers e máquinas de alto desempenho com mineradores ocultos de criptomoedas.

O alvo dos criminosos não são usuários comuns com PCs modestos. Desta vez, o foco está em computadores equipados com GPUs potentes, normalmente utilizados por gamers, entusiastas de hardware, overclockers, streamers e profissionais de TI. Quanto maior o poder gráfico da máquina, maior o lucro obtido pelos operadores da campanha.

O caso chama atenção porque os atacantes passaram a usar páginas falsas extremamente convincentes e até manipular resultados exibidos por ferramentas de IA para distribuir arquivos maliciosos disfarçados de softwares legítimos. O cenário acende um alerta importante para quem costuma baixar utilitários populares de monitoramento e benchmark sem verificar cuidadosamente a origem dos links.

Como funciona o ataque de malware de mineração de GPU

A campanha começa com uma técnica conhecida como SEO poisoning, ou envenenamento de SEO. Nesse modelo de ataque, criminosos criam páginas falsas altamente otimizadas para aparecer nos primeiros resultados de busca do Google e de outros mecanismos.

Esses sites imitam perfeitamente páginas oficiais de ferramentas conhecidas no universo de hardware e diagnóstico de PCs. O objetivo é simples: convencer o usuário a baixar um instalador aparentemente legítimo, mas que na verdade contém o malware que mina criptomoedas em segundo plano.

Em muitos casos, as páginas falsas usam domínios muito parecidos com os originais, além de layouts praticamente idênticos aos sites oficiais. Para usuários distraídos, identificar a fraude pode ser extremamente difícil.

O problema se agrava porque os criminosos estão investindo em anúncios patrocinados, técnicas avançadas de indexação e conteúdos automatizados para ganhar relevância nos mecanismos de busca. Isso faz com que links maliciosos apareçam antes mesmo das páginas legítimas.

XwOoRBl1 criptomoedas cripto

O perigo nos chatbots de IA

Um dos pontos mais alarmantes dessa campanha foi o relato envolvendo respostas geradas por chatbots de IA. Segundo análises divulgadas pela Microsoft, alguns usuários receberam recomendações de links maliciosos ao buscar downloads de ferramentas populares como o CrystalDiskMark.

Isso acontece porque sistemas de IA generativa podem interpretar conteúdos indexados na internet sem distinguir completamente páginas legítimas de páginas manipuladas por criminosos. Quando o mecanismo encontra um site falso altamente ranqueado e aparentemente confiável, ele pode acabar reproduzindo aquele endereço em suas respostas.

O problema não significa que ferramentas de IA estejam comprometidas, mas demonstra um risco crescente de confiar cegamente em qualquer link sugerido automaticamente por assistentes virtuais.

Na prática, muitos usuários já utilizam IA para tarefas rápidas como:

  • Procurar downloads de programas
  • Encontrar drivers
  • Baixar utilitários de benchmark
  • Localizar ferramentas de manutenção
  • Resolver problemas de hardware

Os criminosos perceberam esse comportamento e começaram a adaptar suas campanhas para atingir exatamente esse fluxo de navegação.

O resultado é um cenário onde o usuário acredita estar economizando tempo ao pedir ajuda para uma IA, mas acaba exposto a um ataque de cryptojacking de GPU altamente sofisticado.

As ferramentas legítimas usadas como isca

Os criminosos estão utilizando versões clonadas de softwares extremamente conhecidos da comunidade de hardware. Entre os principais utilitários usados como isca estão:

  • CrystalDiskInfo
  • CrystalDiskMark
  • HWMonitor
  • DDU (Display Driver Uninstaller)
  • FurMark
  • GPU-Z
  • MSI Afterburner
  • CPU-Z

Esses programas são amplamente utilizados por gamers e técnicos para monitorar temperatura, desempenho, estabilidade e integridade de componentes.

Como o público-alvo já conhece essas ferramentas e confia nelas, a chance de baixar um arquivo falso aumenta significativamente.

Outro detalhe importante é que muitos usuários procuram essas aplicações diretamente no Google, sem acessar previamente os sites oficiais dos desenvolvedores. É exatamente nesse ponto que o malware de mineração de GPU encontra espaço para se espalhar.

A engenharia técnica por trás da persistência do malware de mineração de GPU

Além do uso de engenharia social avançada, a campanha chama atenção pela complexidade técnica do mecanismo de infecção.

Os arquivos distribuídos pelos criminosos utilizam uma combinação de DLLs falsas, carregamento lateral de bibliotecas e execução silenciosa de componentes maliciosos usando aplicativos legítimos como fachada.

Na prática, o usuário executa um programa aparentemente normal, enquanto processos ocultos iniciam a mineração de criptomoedas utilizando a GPU da máquina.

Esse tipo de operação costuma causar:

  • Uso elevado da placa de vídeo
  • Consumo excessivo de energia
  • Superaquecimento constante
  • Queda de desempenho em jogos
  • Desgaste acelerado do hardware
  • Aumento anormal da conta de energia elétrica

Em muitos casos, a vítima sequer percebe o ataque imediatamente, especialmente porque os mineradores modernos conseguem ajustar automaticamente o uso da GPU para evitar suspeitas.

Ferramentas de acesso remoto e camuflagem

Os pesquisadores também identificaram o uso de ferramentas legítimas de administração remota, como o ScreenConnect, para manter acesso persistente às máquinas infectadas.

Outro componente observado foi o SimpleRunPE, frequentemente disfarçado como instaladores do VLC Media Player ou outros softwares populares.

A campanha ainda utiliza técnicas avançadas como:

  • Process hollowing
  • Execução em memória
  • Injeção de código
  • Desativação parcial do Windows Defender
  • Criação automática de exclusões no antivírus

O process hollowing, por exemplo, permite que o malware injete código malicioso dentro de processos legítimos do Windows. Isso dificulta a detecção por soluções tradicionais de segurança.

Além disso, os atacantes criam exclusões forçadas no Microsoft Defender para impedir que os mineradores sejam removidos automaticamente.

Esse conjunto de técnicas mostra que a operação não é conduzida por criminosos amadores. Trata-se de uma campanha altamente estruturada e focada em maximizar lucro usando hardware de alto desempenho.

Os mineradores de GPU ativados e como se proteger

Após a infecção, os operadores ativam diferentes mineradores especializados em GPUs potentes. Entre os principais identificados estão:

  • gMiner
  • lolMiner
  • SRBMiner-MULTI

Diferente de campanhas antigas de cryptojacking que buscavam infectar o maior número possível de computadores, essa operação prioriza qualidade em vez de quantidade.

Ou seja, os criminosos preferem comprometer máquinas gamers com placas como:

  • NVIDIA GeForce RTX
  • AMD Radeon RX
  • GPUs profissionais de workstation

Uma única GPU topo de linha pode gerar muito mais lucro do que dezenas de computadores básicos infectados.

Por isso, usuários que trabalham com renderização, IA, edição de vídeo ou jogos pesados se tornaram alvos prioritários.

Como evitar cair nesse tipo de ataque

Algumas medidas simples podem reduzir drasticamente o risco de infecção:

  • Sempre verificar cuidadosamente a URL antes do download
  • Baixar programas apenas nos sites oficiais
  • Evitar clicar em links patrocinados sem validação
  • Desconfiar de links sugeridos automaticamente por IA
  • Conferir assinaturas digitais dos executáveis
  • Manter o Windows Defender ativo e atualizado
  • Utilizar autenticação multifator sempre que possível
  • Monitorar uso anormal de GPU e CPU

Também é importante observar sinais incomuns no computador, como ventoinhas aceleradas constantemente, temperaturas elevadas em repouso e consumo excessivo de recursos mesmo sem programas pesados abertos.

O crescimento desse tipo de malware de mineração de GPU mostra como os ataques modernos estão cada vez mais sofisticados e adaptados aos hábitos atuais dos usuários. A combinação entre SEO falso, engenharia social e confiança excessiva em respostas automatizadas cria um ambiente perigoso até para pessoas experientes.

TAGS:
Compartilhe este artigo
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Seguir
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista em Android, Apple, Cibersegurança e diversos outros temas do universo tecnológico. Seu foco é trazer análises aprofundadas, notícias e guias práticos sobre segurança digital, mobilidade, sistemas operacionais e as últimas inovações que moldam o cenário da tecnologia.
AppleNotícias

Apple reduz valor de Androids em programa de troca

Imagem de logomarca da Apple

Apple aumenta trade-in de iPhones e reduz valores para Galaxy e Pixel nos EUA

Por Jardeson Márcio

Leia também

Posts sobre o mesmo assunto