Новая вредоносная программа использует таблицу символов Windows для майнинга криптовалют

Darktrace сообщает о новой вредоносной программе, похищающей таблицу символов Windows для майнинга криптовалют, раскрывая риски скрытых атак в повседневных программных процессах.

Компания Darktrace, специализирующаяся на кибербезопасности и разработке искусственного интеллекта, поделилась подробностями сложной кампании, которая взламывает обычные программы Windows для тайного майнинга криптовалюты. Исследование, проведенное кибераналитиком Кинной Грелича и руководителем исследования угроз Тарой Гулд, было опубликовано на Hackread.com.

Этот тип атаки называется криптоджекингом , при котором вычислительная мощность устройства используется для добычи криптовалюты для злоумышленников, что приводит к большим счетам за электроэнергию и снижению производительности у жертвы.

Согласно сообщению в блоге Darktrace, в июле 2025 года, а именно 22 июля, ее служба безопасности обнаружила и пресекла попытку криптоджекинга в сети клиента из сферы розничной торговли и электронной коммерции.

Первоначальная угроза была выявлена, поскольку устройство использовало новый пользовательский агент PowerShell , что является крайне необычным признаком непредвиденных событий в сети. Эта атака была уникальной и стала первым известным случаем использования специфического инструмента — «обфусцированного загрузчика AutoIt » — для доставки вредоносного ПО, известного как NBMiner .

Дальнейшее расследование показало, что злоумышленники использовали сложные скрипты для загрузки и запуска вредоносного ПО NBMiner непосредственно в памяти компьютера. Этот исходный скрипт был замаскирован несколькими слоями кода, что затрудняло его чтение и анализ.

Затем вредоносная программа внедрялась в безобидный доверенный процесс Windows , а именно в приложение «Таблица символов» ( charmap.exe ). Чтобы избежать обнаружения, программа была разработана с несколькими способами обхода системы безопасности, включая проверку открытых программ, таких как «Диспетчер задач», и проверку того, является ли Защитник Windows единственным установленным антивирусным ПО.

После активации криптомайнер пытался подключиться к майнинговому пулу gulf.moneroocean.stream, чтобы начать свою работу. Это позволяло ему незаметно повысить свои привилегии и оставаться незамеченным. Этот метод значительно затрудняет обнаружение, поскольку он обходит стороной обычные тревожные сигналы, на которые обучены реагировать системы безопасности.

К вашему сведению, таблица символов Windows — это встроенное приложение Windows, которое позволяет пользователям просматривать и вставлять специальные символы, знаки и символы иностранных языков, отсутствующие на стандартной клавиатуре.

К сожалению, криптоджекинг остаётся серьёзной угрозой , поскольку он может масштабироваться и заражать множество устройств одновременно. Хотя некоторые могут считать такие атаки незначительной проблемой, на самом деле они могут привести к проблемам с конфиденциальностью данных и значительным расходам электроэнергии из-за нецелевого использования вычислительных мощностей.

В данном конкретном случае автоматизированная система реагирования Darktrace смогла быстро локализовать угрозу, предотвратив подключение зараженного устройства к серверам злоумышленника, тем самым остановив атаку на самых ранних стадиях. Это подчёркивает важность применения передовых мер безопасности, которые выходят за рамки простого обнаружения и обеспечивают активное блокирование угроз.

Джейсон Сороко , старший научный сотрудник компании Sectigo, поставщика услуг по комплексному управлению жизненным циклом сертификатов (CLM) из Скоттсдейла, штат Аризона, прокомментировал последнюю разработку, настояв на том, что организациям следует «рассматривать современный криптоджекинг как сигнал о вторжении, а не как безобидную неприятность».

Он отмечает, что эти атаки могут служить прикрытием для более масштабной кампании, направленной на сбор учётных данных и разведку сети. По словам Сороко, время обнаружения угрозы определяется чёткостью понимания поведения скриптов, процессов и сетевых подключений, а не только списком известных проблем.