Netcrook Logo
👤 AUDITWOLF
🗓️ 07 Sep 2025   🗂️ Cyber Warfare    

I cryptojacker si fanno invisibili: la Mappa Caratteri di Windows trasformata in una miniera segreta di criptovalute

Secondo una recente indagine di Darktrace, gli aggressori hanno dirottato uno strumento banale di Windows per minare criptovalute in modo furtivo, rivelando nuovi rischi nascosti all’interno dei software di uso quotidiano.

In breve

  • Darktrace ha rilevato malware di cryptojacking che abusava della Mappa Caratteri di Windows (charmap.exe) nel luglio 2025.
  • L’attacco ha utilizzato un loader AutoIt offuscato per iniettare NBMiner, uno strumento di cryptomining, nella memoria.
  • Il malware ha eluso il rilevamento nascondendosi all’interno di un processo Windows affidabile e controllando la presenza di strumenti di sicurezza.
  • Il cryptojacking può aumentare le bollette elettriche, rallentare i dispositivi e può segnalare intrusioni di rete più profonde.
  • La risposta automatizzata di Darktrace ha bloccato l’attacco prima che il cryptominer potesse connettersi al suo server di comando.

Un nuovo tipo di parassita digitale

Immagina il tuo computer come una città in fermento. In un angolo tranquillo, un edificio municipale poco notato - la Mappa Caratteri di Windows - lavora silenziosamente, aiutando gli utenti a inserire caratteri e simboli stranieri. Recentemente, questo umile strumento è diventato il nascondiglio perfetto per una nuova razza di cybercriminali. Secondo Darktrace, riportato da HackRead, gli aggressori hanno iniziato a sfruttare questa applicazione quotidiana di Windows per trasformare computer ignari in miniere segrete di criptovalute.

Come si è svolto l’attacco

Lo scorso luglio, i sistemi di sicurezza di Darktrace hanno segnalato un dispositivo di un cliente retail che effettuava una strana stretta di mano digitale: un nuovo user agent PowerShell che si connetteva al web. Analizzando più a fondo, le analiste Keanna Grelicha e Tara Gould hanno scoperto una sofisticata campagna di cryptojacking. Gli aggressori hanno utilizzato uno script stratificato e difficile da decifrare (un “loader AutoIt offuscato”) per introdurre NBMiner - un popolare strumento di cryptomining - direttamente nella memoria del computer.

Ma il vero colpo di scena è arrivato dopo. Il malware si è iniettato in charmap.exe, un processo Windows affidabile. Come un borseggiatore che si confonde tra la folla, ha eluso i sospetti controllando se Task Manager o strumenti di sicurezza avanzati fossero in esecuzione. Se era presente solo Windows Defender, proseguiva. Il cryptominer ha quindi tentato di connettersi silenziosamente a una mining pool - gulf.moneroocean.stream - sperando di sottrarre potenza di calcolo per profitti illeciti.

Non solo un fastidio: l’impatto più ampio del cryptojacking

Il cryptojacking - quando gli aggressori usano segretamente il tuo dispositivo per minare criptovalute - è passato da semplice fastidio a seria preoccupazione. Se da un lato l’effetto immediato è un rallentamento delle prestazioni e un aumento delle bollette, gli esperti avvertono che questi attacchi sono sempre più spesso un diversivo per intrusioni più ampie. Jason Soroko di Sectigo ha dichiarato a HackRead che il cryptojacking dovrebbe essere trattato come un segnale di intrusione, non come un semplice inconveniente. Gli aggressori possono usare queste campagne per esplorare le reti o rubare credenziali, rendendo cruciale una rilevazione precoce.

La risposta rapida e automatizzata di Darktrace, in questo caso, ha impedito al cryptominer di connettersi al suo server di comando e controllo, fermando l’attacco prima che potesse causare danni. Ma l’incidente sottolinea una tendenza in crescita: gli aggressori si nascondono in bella vista, abusando anche dei software più innocui per superare le difese tradizionali.

Lezioni dall’ombra

Non è la prima volta che processi Windows di uso quotidiano vengono dirottati per scopi malevoli. Attacchi simili “living off the land” hanno preso di mira utility di sistema come PowerShell e Windows Management Instrumentation (WMI) per anni. La novità sta nella creatività: scegliendo un’app poco nota come la Mappa Caratteri, gli aggressori puntano sul fatto che i difensori trascurino la minaccia. Man mano che gli strumenti di cryptojacking diventano più sofisticati, le organizzazioni devono dare priorità al monitoraggio comportamentale e alla risposta automatizzata - per individuare non solo le minacce note, ma anche schemi insoliti nel loro paesaggio digitale.

Nell’era in cui anche il software più banale può diventare una porta sul retro, la vigilanza non è più opzionale. Come dimostra questo caso, la prossima miniera di criptovalute potrebbe nascondersi dove meno te lo aspetti.

WIKICROOK

  • Cryptojacking: Il cryptojacking si verifica quando gli hacker usano segretamente il tuo dispositivo per minare criptovalute, rallentandolo e aumentando i costi dell’elettricità senza che tu lo sappia.
  • Script offuscato: Uno script offuscato è un codice deliberatamente confuso o stratificato per renderne difficile l’interpretazione o il rilevamento da parte di persone e strumenti di sicurezza.
  • AutoIt Loader: Un AutoIt Loader è uno strumento di Windows che esegue script, spesso sfruttato dagli aggressori per caricare di nascosto malware nella memoria di un computer.
  • Iniezione di processo: L’iniezione di processo avviene quando un malware si nasconde all’interno di processi software legittimi, rendendo più difficile per gli strumenti di sicurezza rilevare e rimuovere la minaccia.
  • Mining pool: Una mining pool è un gruppo di computer che uniscono le forze per minare criptovalute in modo più efficiente e condividere le ricompense, spesso preso di mira dai cryptojacker.
AUDITWOLF AUDITWOLF
Cyber Audit Commander
← Back to news