Darktrace 报告称,新型恶意软件劫持 Windows 字符映射表(Character Map)进行加密货币挖矿,暴露出日常软件进程中隐藏攻击的风险。
网络安全人工智能公司 Darktrace 披露了一起复杂攻击活动的细节,该活动劫持日常 Windows 软件秘密进行加密货币挖矿。这项研究由网络分析师 Keanna Grelicha 和威胁研究主管 Tara Gould 主导,并已分享给 Hackread.com 。
此类攻击被称为 加密劫持(cryptojacking),即攻击者利用设备的处理能力挖掘加密货币,导致受害者面临更高的电费支出和设备性能下降。
根据 Darktrace 的博客文章,2025 年 7 月,具体为 7 月 22 日,其安全团队在一家零售和电子商务行业客户的网络上检测并阻止了一起加密劫持未遂事件。
最初的威胁被标记是因为该设备使用了一个新的 PowerShell 用户代理,这是一个极不寻常的指标,表明网络上正在发生意外情况。此次攻击具有独特性,标志着首次发现使用特定工具(即“混淆的 AutoIt 加载器”)来分发名为 NBMiner 的恶意软件。
恶意软件内部解析
进一步调查显示,攻击者通过复杂脚本直接在计算机内存中下载并运行 NBMiner 恶意软件。初始脚本被多层代码伪装,以规避分析和解读。
随后,恶意软件将自身注入一个无害且受信任的 Windows 进程,具体为 字符映射表应用程序(charmap.exe )。为避免被检测,该程序设计了多项规避措施,包括检查 任务管理器 等程序是否打开,以及验证 Windows Defender 是否为唯一安装的安全软件。
激活后,加密货币挖矿程序尝试连接名为 gulf.moneroocean.stream 的加密货币矿池以开始挖矿操作。通过这种方式,它可以悄悄提升权限并保持隐藏状态。这种方法显著降低了被发现的概率,因为它避开了安全系统通常训练识别的常见危险信号。
需要说明的是,Windows 字符映射表(Character Map) 是 Windows 内置应用程序,允许用户查看和插入标准键盘上没有的特殊字符、符号和外语字符。
高级防御的重要性
遗憾的是,加密劫持仍是主要威胁,因为它可以规模化感染大量设备。尽管有些人可能认为这些攻击无关紧要,但实际上它们可能导致数据隐私问题,并因计算能力被滥用而产生高昂的能源成本。
在这起具体案例中,Darktrace 的自动响应系统通过阻止受感染设备连接攻击者的服务器,在攻击初期就迅速遏制了威胁。这凸显了部署高级安全措施的重要性——此类措施不仅能检测威胁,还能主动阻止威胁。
Sectigo(总部位于亚利桑那州斯科茨代尔的综合证书生命周期管理(CLM)提供商)高级研究员 Jason Soroko 就这一最新进展评论称,组织应“将现代加密劫持视为入侵信号,而非无害的麻烦”。
他指出,这些攻击可能成为更广泛攻击活动的掩护,旨在窃取凭据和侦察网络。Soroko 表示,威胁检测的时间取决于对脚本、进程和网络连接行为的可见性,而非仅依赖已知问题列表。
发表评论
您还未登录,请先登录。
登录