Злоумышленники начали распространять вредоносный майнер через ссылки, предлагаемые ИИ‑ассистентами, когда пользователи запрашивали популярные утилиты (CrystalDiskInfo, HWMonitor и др.). На заражённом ПК устанавливается легитимный клиент ScreenConnect, после чего атакующий получает постоянный доступ, добавляет автозапуск, отключает Defender и запускает майнеры gminer/LolMiner/SRBMiner‑MULTI. Вирус использует DLL‑sideloading, process hollowing и маскировку под vlc.exe, а также может скачивать дополнительные компоненты и шифровальщики. По данным Microsoft, выявлено более 150 вредоносных доменов, цель — мощные ПК с GPU для добычи криптовалюты и дальнейшего доступа к сети.
