Netcrook Logo
👤 NEONPALADIN
🗓️ 07 Sep 2025  

Los cryptojackers se vuelven invisibles: el Mapa de Caracteres de Windows convertido en una mina de criptomonedas secreta

Los atacantes secuestran una herramienta mundana de Windows para minar criptomonedas de forma sigilosa, exponiendo nuevos riesgos ocultos en el software cotidiano, según una reciente investigación de Darktrace.

Datos Rápidos

  • Darktrace detectó malware de cryptojacking que abusaba del Mapa de Caracteres de Windows (charmap.exe) en julio de 2025.
  • El ataque utilizó un cargador AutoIt ofuscado para inyectar NBMiner, una herramienta de minería de criptomonedas, en la memoria.
  • El malware evitó la detección ocultándose dentro de un proceso confiable de Windows y comprobando la presencia de herramientas de seguridad.
  • El cryptojacking puede aumentar las facturas de electricidad, ralentizar los dispositivos y puede ser señal de intrusiones más profundas en la red.
  • La respuesta automatizada de Darktrace bloqueó el ataque antes de que el cryptominer pudiera conectarse a su servidor de comando.

Un nuevo tipo de parásito digital

Imagina tu computadora como una ciudad bulliciosa. En una esquina tranquila, un edificio municipal apenas notado - el Mapa de Caracteres de Windows - funciona silenciosamente, ayudando a los usuarios a insertar caracteres y símbolos extranjeros. Recientemente, esta humilde herramienta se convirtió en el escondite perfecto para una nueva generación de ciberdelincuentes. Según Darktrace, reportado por HackRead, los atacantes han comenzado a explotar esta aplicación cotidiana de Windows para convertir computadoras desprevenidas en minas secretas de criptomonedas.

Cómo se desarrolló el ataque

En julio, los sistemas de seguridad de Darktrace detectaron que el dispositivo de un cliente minorista realizaba un extraño apretón de manos digital: un nuevo agente de usuario de PowerShell conectándose a la web. Al investigar más a fondo, las analistas Keanna Grelicha y Tara Gould descubrieron una sofisticada campaña de cryptojacking. Los atacantes usaron un script por capas y difícil de descifrar (un “cargador AutoIt ofuscado”) para introducir NBMiner - una popular herramienta de minería de criptomonedas - directamente en la memoria del ordenador.

Pero el verdadero truco vino después. El malware se inyectó en charmap.exe, un proceso confiable de Windows. Como un carterista que se mezcla en una calle concurrida, evitó sospechas comprobando si el Administrador de Tareas o herramientas de seguridad avanzadas estaban en ejecución. Si solo estaba presente Windows Defender, continuaba. El cryptominer entonces intentó conectarse silenciosamente a un pool de minería - gulf.moneroocean.stream - con la esperanza de desviar poder de cómputo para obtener ganancias ilícitas.

No solo una molestia: el impacto más amplio del cryptojacking

El cryptojacking - cuando los atacantes usan en secreto tu dispositivo para minar criptomonedas - ha evolucionado de una simple molestia a una preocupación seria. Si bien el efecto inmediato es un rendimiento más lento y facturas de energía más altas, los expertos advierten que estos ataques son cada vez más una cortina de humo para intrusiones más amplias. Jason Soroko de Sectigo dijo a HackRead que el cryptojacking debe tratarse como una señal de intrusión, no como un fallo inofensivo. Los atacantes pueden usar estas campañas para explorar redes o robar credenciales, haciendo que la detección temprana sea crucial.

La rápida respuesta automatizada y basada en IA de Darktrace en este caso impidió que el cryptominer se conectara a su servidor de comando y control, deteniendo el ataque antes de que se produjera algún daño. Pero el incidente subraya una tendencia creciente: los atacantes se esconden a plena vista, abusando incluso del software más inocuo para evadir las defensas tradicionales.

Lecciones desde las sombras

No es la primera vez que procesos cotidianos de Windows han sido secuestrados con fines maliciosos. Ataques similares de “vivir de la tierra” han apuntado a utilidades del sistema como PowerShell y Windows Management Instrumentation (WMI) durante años. Lo novedoso es la creatividad: al elegir una aplicación tan oscura como el Mapa de Caracteres, los atacantes apuestan a que los defensores pasarán por alto la amenaza. A medida que las herramientas de cryptojacking se vuelven más sofisticadas, las organizaciones deben priorizar la monitorización del comportamiento y la respuesta automatizada - detectando no solo amenazas conocidas, sino patrones inusuales en su paisaje digital.

En una era en la que incluso el software más mundano puede convertirse en una puerta trasera, la vigilancia ya no es opcional. Como muestra este caso, la próxima mina de criptomonedas podría estar oculta donde menos lo esperas.

WIKICROOK

  • Cryptojacking: El cryptojacking es cuando los hackers usan en secreto tu dispositivo para minar criptomonedas, ralentizándolo y aumentando los costos de electricidad sin que lo sepas.
  • Script ofuscado: Un script ofuscado es código que está deliberadamente enmarañado o por capas para dificultar que las personas y las herramientas de seguridad lo interpreten o detecten.
  • Cargador AutoIt: Un cargador AutoIt es una herramienta de Windows que ejecuta scripts, a menudo utilizada por atacantes para cargar malware en la memoria del ordenador de forma encubierta.
  • Inyección de procesos: La inyección de procesos es cuando el malware se oculta dentro de procesos de software legítimos, dificultando que las herramientas de seguridad detecten y eliminen la amenaza.
  • Pool de minería: Un pool de minería es un grupo de computadoras que unen fuerzas para minar criptomonedas de manera más eficiente y compartir recompensas, a menudo objetivo de los cryptojackers.
NEONPALADIN NEONPALADIN
Cyber Resilience Engineer
← Back to news