Netcrook Logo
👤 NEURALSHIELD
🗓️ 07 Sep 2025  

Les cryptojackers passent incognito : la table des caractères Windows transformée en mine de crypto secrète

Des attaquants détournent un outil Windows banal pour miner discrètement de la cryptomonnaie, révélant de nouveaux risques cachés dans les logiciels du quotidien, selon une récente enquête de Darktrace.

En bref

  • Darktrace a détecté un malware de cryptojacking exploitant la table des caractères Windows (charmap.exe) en juillet 2025.
  • L’attaque utilisait un chargeur AutoIt obscurci pour injecter NBMiner, un outil de minage de cryptomonnaie, en mémoire.
  • Le malware a échappé à la détection en se cachant dans un processus Windows de confiance et en vérifiant la présence d’outils de sécurité.
  • Le cryptojacking peut augmenter la facture d’électricité, ralentir les appareils et signaler des intrusions réseau plus profondes.
  • La réponse automatisée de Darktrace a bloqué l’attaque avant que le cryptomineur ne puisse se connecter à son serveur de commande.

Une nouvelle forme de parasite numérique

Imaginez votre ordinateur comme une ville animée. Dans un coin tranquille, un bâtiment municipal rarement remarqué - la table des caractères Windows - fonctionne discrètement, aidant les utilisateurs à insérer des caractères et symboles étrangers. Récemment, cet outil modeste est devenu la cachette idéale pour une nouvelle génération de cybercriminels. Selon Darktrace, relayé par HackRead, des attaquants ont commencé à exploiter cette application Windows ordinaire pour transformer des ordinateurs sans méfiance en mines de cryptomonnaie secrètes.

Déroulement de l’attaque

En juillet, les systèmes de sécurité de Darktrace ont signalé un comportement étrange sur l’appareil d’un client du secteur de la vente : un nouvel agent utilisateur PowerShell se connectait au web. En creusant, les analystes Keanna Grelicha et Tara Gould ont découvert une campagne sophistiquée de cryptojacking. Les attaquants utilisaient un script complexe et difficile à décrypter (un « chargeur AutoIt obscurci ») pour introduire NBMiner - un outil de minage populaire - directement en mémoire.

Mais le vrai tour de passe-passe est venu ensuite. Le malware s’est injecté dans charmap.exe, un processus Windows de confiance. Tel un pickpocket se fondant dans la foule, il évitait les soupçons en vérifiant si le Gestionnaire des tâches ou des outils de sécurité avancés étaient actifs. Si seul Windows Defender était présent, il poursuivait son action. Le cryptomineur tentait alors de se connecter discrètement à un pool de minage - gulf.moneroocean.stream - dans l’espoir de détourner la puissance de calcul à des fins illicites.

Bien plus qu’une nuisance : l’impact du cryptojacking

Le cryptojacking - lorsque des attaquants utilisent secrètement votre appareil pour miner de la cryptomonnaie - est passé d’une simple gêne à une véritable préoccupation. Si l’effet immédiat est un ralentissement des performances et une hausse de la facture énergétique, les experts avertissent que ces attaques servent de plus en plus de couverture à des intrusions plus larges. Jason Soroko de Sectigo a déclaré à HackRead que le cryptojacking doit être considéré comme un signal d’intrusion, et non comme un simple bug inoffensif. Les attaquants peuvent utiliser ces campagnes pour explorer les réseaux ou voler des identifiants, rendant la détection précoce cruciale.

La réponse rapide et automatisée de Darktrace, alimentée par l’IA, a empêché dans ce cas le cryptomineur de se connecter à son serveur de commande et de contrôle, stoppant l’attaque avant qu’elle ne cause des dégâts. Mais l’incident met en lumière une tendance croissante : les attaquants se cachent à la vue de tous, exploitant même les logiciels les plus anodins pour contourner les défenses traditionnelles.

Leçons de l’ombre

Ce n’est pas la première fois que des processus Windows ordinaires sont détournés à des fins malveillantes. Des attaques similaires, dites « living off the land », ciblent depuis des années des utilitaires système comme PowerShell ou Windows Management Instrumentation (WMI). La nouveauté, c’est la créativité : en choisissant une application obscure comme la table des caractères, les attaquants misent sur le fait que les défenseurs négligeront la menace. À mesure que les outils de cryptojacking se perfectionnent, les organisations doivent privilégier la surveillance comportementale et la réponse automatisée - pour détecter non seulement les menaces connues, mais aussi les comportements inhabituels dans leur paysage numérique.

À une époque où même le logiciel le plus banal peut devenir une porte dérobée, la vigilance n’est plus une option. Comme le montre ce cas, la prochaine mine de crypto pourrait se cacher là où on s’y attend le moins.

WIKICROOK

  • Cryptojacking : Le cryptojacking, c’est lorsque des pirates utilisent secrètement votre appareil pour miner de la cryptomonnaie, le ralentissant et augmentant la facture d’électricité à votre insu.
  • Script obscurci : Un script obscurci est un code volontairement brouillé ou superposé pour le rendre difficile à interpréter ou à détecter par les humains et les outils de sécurité.
  • Chargeur AutoIt : Un chargeur AutoIt est un outil Windows qui exécute des scripts, souvent détourné par des attaquants pour charger secrètement des malwares en mémoire.
  • Injection de processus : L’injection de processus consiste pour un malware à se cacher dans des processus logiciels légitimes, rendant sa détection et sa suppression plus difficiles pour les outils de sécurité.
  • Pool de minage : Un pool de minage est un groupe d’ordinateurs qui unissent leurs forces pour miner de la cryptomonnaie plus efficacement et partager les récompenses, souvent ciblé par les cryptojackers.
NEURALSHIELD NEURALSHIELD
AI System Protection Engineer
← Back to news