Pesquisadorores Identificar um variante de malware de malware de cripdomineraçaia que explora o mapa de caracteres da Aplicativa do Windows (charmap.exe) para executar código malicioso e evitar um detectar pelo pelo windows defensor. O ATAQUE COMIÇA COM UM SCRIPT PowerShell que BAIXA E Execute em Memória um carregador Obfusdo em Autoit, Sem Gravação em Disco, Dificultando A Identifica ã por Solução de Segunaça Tradicionais.
Leia Tamboma
Falha de Alta Gravidade Afeta Ibm Watsonx Orquestrate
Cadeia de Supimentos de Ia Exposta uma execução remota de código
O código malicioso persiste por meio de atalhos na inicializaça e utiliza técricas de evasão, como verifica ã de Chaves de registro e tentativas de bypass uac. APÓs Um execuço, o carregador injeta o minerador nbminer diretamenthe no processo charmap.exe, um binário legítimo do windows, obtendo acesso a recursos do sistema sem acionar alertas bas doseados em assinaturas. Essa técnica liMite que o malware se concorda a pools de mineração de forma furtiva, elevando o consumo de cpu e gerando custos de energia inesperados para como organizações afetadas.
Segundo um trace escuro, um ativado FOI Detectada InicialentE por anomalias em impressão digital de agente PowerShell, que indicava comunicação com servidores externos. O malware utiliza codifica ã em base64 e xor para reconstruir binários em appdata, implementa injeção em memórórica e críates tarefas persistentes, Além de Aplicar Atrarasos Anti-SandBox e minações de Windows Defender Está Ativo Antes de Dasos, em Antrasos, na válira, se é uma mina de minas.
Uma Carga Final Do Acaque Execute O Nbminer otimizado para o Algoritmo Kawpow, com Conexões A Domínios Como monerooceanS.Stream E AO IP 152.53.121.6:10001, confirmando o tráfego de mineração. O mecanismo de infecção segou um modelo em duas etapas: o PowerShell segmentos iniciais segmentos codificados fazem autoit, faça script de persistinncia e stob de injeção, que são decodificadores e injeções no charmap.exe.
ESSA CAMPANHA MOSTRA O AVANCO DAS TÁTICAS DE CRIPTO Jacking, Combinando Execução em Memória, Uso de Processos confiáis do Windows e Rotinas de Ofuscaça para o Dificativo Um Detecção e Prolongo A A Ativado Maliciosa. Especialistas Recomendam Monitorar Variatas de consumo de CPU, Acessos Incomuns Ao charmap.exe e exclusões anômalas nenhum zagueiro do Windows como indicadores de comprometimento.
