Nuevo malware utiliza el mapa de caracteres de Windows para la criptominería

Darktrace informa sobre un nuevo malware que secuestra el mapa de caracteres de Windows para la minería de criptomonedas, lo que expone riesgos de ataques ocultos en los procesos de software cotidianos.

La firma de inteligencia artificial especializada en ciberseguridad Darktrace ha compartido detalles de una sofisticada campaña que secuestra software de Windows para minar criptomonedas en secreto. La investigación, dirigida por la analista cibernética Keanna Grelicha y la jefa de investigación de amenazas Tara Gould, fue compartida con Hackread.com.

Este tipo de ataque se llama cryptojacking , en el cual se utiliza la potencia de procesamiento de un dispositivo para minar criptomonedas para los atacantes, lo que genera facturas de electricidad más altas y un rendimiento más lento para la víctima.

Según la publicación del blog de Darktrace, en julio de 2025, específicamente el 22 de julio, su equipo de seguridad detectó y detuvo un intento de incidente de cryptojacking en la red de un cliente de la industria minorista y de comercio electrónico.

La amenaza inicial se detectó porque el dispositivo utilizaba un nuevo agente de usuario de PowerShell , lo cual es un indicador muy inusual de que algo inesperado estaba sucediendo en la red. El ataque fue único y marca la primera vez conocida en que se utilizó una herramienta específica, un " cargador AutoIt ofuscado", para distribuir el software malicioso conocido como NBMiner .

*Detección por parte de Darktrace de un dispositivo que establece una conexión HTTP con un nuevo agente de usuario de PowerShell* (Fuente: Darktrace)

Investigaciones posteriores revelaron que los atacantes utilizaron scripts complejos para descargar y ejecutar el malware NBMiner directamente en la memoria del ordenador. Este script inicial estaba camuflado con múltiples capas de código para dificultar su lectura y análisis.

El malware se infiltró entonces en un proceso inofensivo y confiable de Windows , concretamente en la aplicación Mapa de Caracteres ( charmap.exe ). Para evitar ser detectado, el programa se diseñó con varias medidas de evasión, como comprobar si programas como el Administrador de Tareas estaban abiertos y verificar si Windows Defender era el único software de seguridad instalado.

Una vez activo, el criptominero intentó conectarse a un grupo de criptominería llamado gulf.moneroocean.stream para iniciar sus operaciones. De esta manera, pudo escalar sus privilegios discretamente y permanecer oculto. Este método dificulta considerablemente su detección, ya que evita las señales de alerta habituales que los sistemas de seguridad están entrenados para buscar.

Para su información, el Mapa de caracteres de Windows es una aplicación integrada de Windows que permite a los usuarios ver e insertar caracteres especiales, símbolos y caracteres de idiomas extranjeros que no se encuentran en un teclado estándar.

Desafortunadamente, el cryptojacking sigue siendo una gran amenaza, ya que puede escalar e infectar muchos dispositivos a la vez. Si bien algunos pueden considerar estos ataques un problema menor, en realidad pueden generar problemas de privacidad de datos y costos energéticos significativos debido al uso indebido de la potencia de procesamiento.

En este caso específico, el sistema de respuesta automatizada de Darktrace logró contener rápidamente la amenaza al impedir que el dispositivo infectado se conectara a los servidores del atacante, deteniendo así el ataque en sus etapas iniciales. Esto resalta la importancia de contar con medidas de seguridad avanzadas que vayan más allá de la simple detección para bloquear activamente las amenazas.

Jason Soroko , miembro senior de Sectigo, un proveedor con sede en Scottsdale, Arizona, de gestión integral del ciclo de vida de certificados (CLM), comentó sobre el último desarrollo, insistiendo en que las organizaciones deberían "tratar el cryptojacking moderno como una señal de intrusión, no como una molestia inofensiva".

Señala que estos ataques pueden servir de tapadera para una campaña más amplia destinada a recopilar credenciales y explorar la red. Según Soroko, el tiempo que se tarda en detectar una amenaza depende de la visibilidad del comportamiento de los scripts, los procesos y las conexiones de red, no solo de una lista de problemas conocidos.