Novo malware usa mapa de caracteres do Windows para criptomineração

O Darktrace relata um novo malware sequestrando o Mapa de Caracteres do Windows para criptomineração, expondo riscos de ataques ocultos em processos de software cotidianos.

A empresa de inteligência artificial para segurança cibernética Darktrace compartilhou detalhes de uma campanha sofisticada que sequestra softwares comuns do Windows para minerar criptomoedas secretamente. A pesquisa foi liderada pela analista cibernética Keanna Grelicha e pela líder de pesquisa de ameaças Tara Gould, e compartilhada com o Hackread.com.

Esse tipo de ataque é chamado de cryptojacking , no qual o poder de processamento de um dispositivo é utilizado para minerar criptomoedas para os invasores, resultando em contas de luz maiores e desempenho mais lento para a vítima.

De acordo com a postagem do blog da Darktrace, em julho de 2025, especificamente em 22 de julho, sua equipe de segurança detectou e interrompeu uma tentativa de incidente de cryptojacking na rede de um cliente do setor de varejo e comércio eletrônico.

A ameaça inicial foi sinalizada porque o dispositivo estava usando um novo agente de usuário do PowerShell , o que é um indicador altamente incomum de que algo inesperado estava acontecendo na rede. O ataque foi único e marca a primeira vez conhecida em que uma ferramenta específica, um " carregador AutoIt ofuscado", foi usada para entregar o software malicioso conhecido como NBMiner .

Investigações posteriores revelaram que os invasores usaram scripts complexos para baixar e executar o malware NBMiner diretamente na memória do computador. Esse script inicial estava disfarçado com várias camadas de código para dificultar sua leitura e análise.

O malware então se injetou em um processo inofensivo e confiável do Windows , especificamente no aplicativo Mapa de Caracteres ( charmap.exe ). Para evitar a detecção, o programa foi projetado com diversas medidas de evasão, incluindo verificar se programas como o Gerenciador de Tarefas estavam abertos e se o Windows Defender era o único software de segurança instalado.

Uma vez ativo, o criptominerador tentou se conectar a um pool de criptomineração chamado gulf.moneroocean.stream para iniciar suas operações. Ao fazer isso, ele conseguiu aumentar seus privilégios discretamente e permanecer oculto. Esse método o torna significativamente mais difícil de ser detectado, pois evita os alertas comuns que os sistemas de segurança são treinados para detectar.

Para sua informação, o Mapa de Caracteres do Windows é um aplicativo interno do Windows que permite aos usuários visualizar e inserir caracteres especiais, símbolos e caracteres de idiomas estrangeiros não encontrados em um teclado padrão.

Infelizmente, o cryptojacking continua sendo uma grande ameaça, pois pode ser escalonado para infectar vários dispositivos simultaneamente. Embora alguns possam considerar esses ataques um problema menor, eles podem, na verdade, levar a problemas de privacidade de dados e custos significativos de energia devido ao uso indevido do poder computacional.

Neste caso específico, o sistema de resposta automatizada da Darktrace conseguiu conter rapidamente a ameaça, impedindo que o dispositivo infectado se conectasse aos servidores do invasor, interrompendo o ataque em seus estágios iniciais. Isso destaca a importância de implementar medidas de segurança avançadas que vão além da simples detecção para bloquear ativamente as ameaças.

Jason Soroko , membro sênior da Sectigo, uma provedora de gerenciamento abrangente do ciclo de vida de certificados (CLM) sediada em Scottsdale, Arizona, comentou sobre o desenvolvimento mais recente, insistindo que as organizações devem "tratar o cryptojacking moderno como um sinal de intrusão, não um incômodo inofensivo".

Ele ressalta que esses ataques podem servir de cobertura para uma campanha mais ampla que visa coletar credenciais e monitorar a rede. Segundo Soroko, o tempo que leva para detectar uma ameaça é determinado pela visibilidade do comportamento de scripts, processos e conexões de rede, não apenas por uma lista de problemas conhecidos.