Fuente: Hackread.com – Autor: Deeba Ahmed. DarkTrace informa un nuevo mapa de caracteres de Windows de secuestro de malware para la criptominación, exponiendo los riesgos de los ataques ocultos en los procesos de software cotidianos. La firma de inteligencia artificial de ciberseguridad, DarkTrace, ha compartido detalles de una campaña sofisticada que secuestra el software de Windows de todos los días para extraer secretamente criptomonedas. La investigación fue dirigida por la analista cibernética Keanna Grelicha y el líder de la investigación de amenazas Tara Gould, y compartió con Hackread.com Este tipo de ataque se llama criptojacking, en el que la potencia de procesamiento de un dispositivo se utiliza para extraer criptomonedas para los atacantes, lo que lleva a un mayor rendimiento de electricidad y un rendimiento más lento para la víctima. Según la publicación del blog de DarkTrace, en julio de 2025, específicamente el 22 de julio, su equipo de seguridad detectó y detuvo un intento de criptojacking en la red de un cliente en la industria minorista y de comercio electrónico. La amenaza inicial se marcó porque el dispositivo estaba utilizando un nuevo agente de usuario de PowerShell, que es un indicador muy inusual de que algo inesperado estaba sucediendo en la red. El ataque fue único y marca la primera vez conocida que se utilizó una herramienta específica, un «cargador de autoits ofuscado», para entregar el software malicioso conocido como NBMiner. La detección de DarkTrace de un dispositivo que hace una conexión HTTP con un nuevo agente de usuario de PowerShell (fuente: DarkTrace) dentro del malware, el sondeo adicional reveló que los atacantes usaron scripts complejos para descargar y ejecutar el malware NBMiner directamente en la memoria de la computadora. Este script inicial se disfrazó de múltiples capas de código para dificultar la lectura y analizar. Luego, el malware se inyectó en un proceso inofensivo y confiable de Windows, específicamente la aplicación del mapa de caracteres (CharMap.exe). Para evitar la detección, el programa fue diseñado con varias medidas de evasión, incluida la verificación de si programas como Task Manager estaban abiertos y verificar si Windows Defender era el único software de seguridad instalado. Una vez activo, el Cryptominer intentó conectarse a una piscina criptomina llamada Gulf.MoneroOcean.stream para comenzar sus operaciones. Al hacer esto, podría escalar silenciosamente sus privilegios y permanecer oculto. Este método hace que sea significativamente más difícil detectar, ya que evita las banderas rojas habituales que los sistemas de seguridad están capacitados para buscar. Para su información, el mapa de caracteres de Windows es una aplicación Windows incorporada que permite a los usuarios ver e insertar caracteres especiales, símbolos y caracteres de idioma extranjero que no se encuentran en un teclado estándar. Desafortunadamente, la importancia de la importancia de la defensa avanzada, el criptojacking sigue siendo una amenaza importante porque se puede escalar para infectar muchos dispositivos a la vez. Si bien algunos pueden considerar estos ataques como un problema menor, en realidad pueden conducir a problemas de privacidad de datos y costos de energía significativos del mal uso del poder informático. En este caso específico, el sistema de respuesta automatizada de DarkTrace pudo contener rápidamente la amenaza evitando que el dispositivo infectado se conecte a los servidores del atacante, deteniendo el ataque en sus primeras etapas. Esto resalta la importancia de tener medidas de seguridad avanzadas que van más allá de la simple detección para bloquear activamente las amenazas. Jason Soroko, miembro senior de Sectigo, un proveedor de Gestión de Certificado de Certificado Integral (CLM) con sede en Scottsdale, que las organizaciones deberían «tratar la criptojacking moderna como una señal de intrusión, no como una molestia perjudicial». Señala que estos ataques pueden servir como portada para una campaña más amplia destinada a cosechar credenciales y explorar la red. Según Soroko, el tiempo que lleva detectar una amenaza está impulsado por la visibilidad de cómo se comportan los guiones, procesos y conexiones de red, no por una lista de problemas conocidos solo. URL de publicación original: https://hackread.com/new-malware-uses-windows-character-map-cryptomining/category & tags: seguridad, criptomoneda, malware, autolt, criptojacking, criptominente, criptominación, ataque cibernético, trama oscura, nbMiner, Powershell, Windows-Windows-Windows-Windows-Windows-Windows-Windows-Windows-Windows-Windows-Windows-Windows- Seguridad, criptomoneda, malware, autolt, criptojacking, criptominer, criptominación, ataque cibernético, DarkTrace, NBMiner, PowerShell, Windows, Windows