Исследователи выявили изощрённую кампанию криптоджекинга, в которой злоумышленники прячут майнер внутри стандартного инструмента Windows — charmap.exe («Таблица символов»).
Такой подход позволяет обходить Windows Defender: процесс выглядит легитимным, а вредоносный код работает в памяти, не оставляя следов на диске.
Атака начинается с фишингового письма, где под видом PDF вложен ярлык. При запуске он вызывает PowerShell, загружает маскированный дроппер и записывает два компонента в AppData: AutoIt-лоадер и 64-битный майнер. Лоадер внедряет вирус прямо в charmap.exe, который продолжает показывать интерфейс, одновременно выполняя скрытую добычу криптовалюты.
Чтобы закрепиться в системе, вредонос создаёт задачу «WindowsCharMapUpdater» для автозапуска при входе и подгружает DLL через процесс werfault.exe. Это гарантирует перезапуск майнера даже после перезагрузки ПК. В результате нагрузка на процессор и видеокарту превышает 80%, что вызывает тормоза, перегрев и рост счетов за электроэнергию.
Больше всего заражений зафиксировано в образовательных и медицинских учреждениях. Эксперты предупреждают: сигнатурные антивирусы бессильны против подобных fileless-техник, поэтому необходимы поведенческие средства защиты.
Рекомендуется жёстко контролировать PowerShell-скрипты, мониторить нетипичные процессы и ограничить запуск системных утилит. Для организаций криптоджекинг превращается не только в вопрос безопасности, но и в ощутимые финансовые потери.
Такой подход позволяет обходить Windows Defender: процесс выглядит легитимным, а вредоносный код работает в памяти, не оставляя следов на диске.
Атака начинается с фишингового письма, где под видом PDF вложен ярлык. При запуске он вызывает PowerShell, загружает маскированный дроппер и записывает два компонента в AppData: AutoIt-лоадер и 64-битный майнер. Лоадер внедряет вирус прямо в charmap.exe, который продолжает показывать интерфейс, одновременно выполняя скрытую добычу криптовалюты.
Чтобы закрепиться в системе, вредонос создаёт задачу «WindowsCharMapUpdater» для автозапуска при входе и подгружает DLL через процесс werfault.exe. Это гарантирует перезапуск майнера даже после перезагрузки ПК. В результате нагрузка на процессор и видеокарту превышает 80%, что вызывает тормоза, перегрев и рост счетов за электроэнергию.
Больше всего заражений зафиксировано в образовательных и медицинских учреждениях. Эксперты предупреждают: сигнатурные антивирусы бессильны против подобных fileless-техник, поэтому необходимы поведенческие средства защиты.
Рекомендуется жёстко контролировать PowerShell-скрипты, мониторить нетипичные процессы и ограничить запуск системных утилит. Для организаций криптоджекинг превращается не только в вопрос безопасности, но и в ощутимые финансовые потери.
