เรื่องเล่าจาก charmap.exe: เมื่อแอปพื้นฐานกลายเป็นหน้ากากของการขุดเหรียญลับ

ในเดือนกรกฎาคม 2025 ทีมวิจัยจาก Darktrace ตรวจพบการโจมตีแบบ cryptojacking บนเครือข่ายของบริษัทค้าปลีกและอีคอมเมิร์ซ โดยพบว่ามีการใช้ PowerShell user agent ที่ไม่เคยเห็นมาก่อน ซึ่งกลายเป็นจุดเริ่มต้นของการสืบสวนที่นำไปสู่การค้นพบมัลแวร์ NBMiner ที่ถูกฝังอยู่ในกระบวนการของ Windows Character Map (charmap.exe)

มัลแวร์นี้ถูกโหลดผ่านสคริปต์ infect.ps1 ที่ถูกเข้ารหัสหลายชั้นด้วย Base64 และ XOR เพื่อหลบเลี่ยงการตรวจจับ โดยใช้ AutoIt loader ที่ถูกออกแบบมาอย่างซับซ้อนเพื่อ inject ตัวเองเข้าไปในโปรเซสที่ดูปลอดภัยและไม่เป็นพิษภัย

เมื่อเข้าไปใน charmap.exe แล้ว มัลแวร์จะตรวจสอบว่า Task Manager เปิดอยู่หรือไม่, มีแอนตี้ไวรัสตัวอื่นนอกจาก Windows Defender หรือเปล่า และพยายามยกระดับสิทธิ์ผู้ใช้โดยหลบเลี่ยง UAC เพื่อให้สามารถขุดเหรียญ Monero ได้อย่างเงียบ ๆ ผ่าน mining pool ที่ชื่อ gulf.moneroocean.stream

สิ่งที่ทำให้การโจมตีนี้น่ากังวลคือการใช้เทคนิค zero-click และการฝังตัวในหน่วยความจำโดยไม่แตะไฟล์บนดิสก์เลย ทำให้ระบบตรวจจับแบบ signature-based หรือ sandboxing แทบไม่มีโอกาสเห็นพฤติกรรมผิดปกติ

Jason Soroko จาก Sectigo เตือนว่า cryptojacking ไม่ใช่แค่เรื่องของค่าไฟแพงหรือเครื่องช้า แต่เป็น “สัญญาณของการบุกรุก” ที่อาจเป็นหน้ากากของแคมเปญใหญ่ เช่น การเก็บ credentials หรือการสอดแนมเครือข่ายในระดับองค์กร

รูปแบบการโจมตีที่ตรวจพบโดย Darktrace
เริ่มจาก PowerShell user agent ที่ไม่เคยเห็นมาก่อน
ใช้ infect.ps1 ที่ถูกเข้ารหัสหลายชั้นด้วย Base64 และ XOR
โหลด AutoIt executable และ inject เข้าไปใน charmap.exe

เทคนิคการหลบเลี่ยงและยกระดับสิทธิ์
ตรวจสอบว่า Task Manager เปิดอยู่หรือไม่
ตรวจสอบว่า Windows Defender เป็นแอนตี้ไวรัสเดียวที่ติดตั้ง
พยายาม bypass UAC เพื่อยกระดับสิทธิ์ผู้ใช้

การฝังตัวและการขุดคริปโต
ฝังตัวในหน่วยความจำของ charmap.exe โดยไม่แตะไฟล์บนดิสก์
เชื่อมต่อกับ mining pool gulf.moneroocean.stream เพื่อขุด Monero
ใช้เทคนิค zero-click และ anti-sandboxing เพื่อหลบเลี่ยงการตรวจจับ

ความเห็นจากผู้เชี่ยวชาญด้านความปลอดภัย
Jason Soroko เตือนว่า cryptojacking คือสัญญาณของการบุกรุก
อาจเป็นหน้ากากของแคมเปญที่ใหญ่กว่าการขุดเหรียญ
การตรวจจับต้องอาศัยการวิเคราะห์พฤติกรรม ไม่ใช่แค่ signature

https://hackread.com/new-malware-uses-windows-character-map-cryptomining/
🎙️ เรื่องเล่าจาก charmap.exe: เมื่อแอปพื้นฐานกลายเป็นหน้ากากของการขุดเหรียญลับ ในเดือนกรกฎาคม 2025 ทีมวิจัยจาก Darktrace ตรวจพบการโจมตีแบบ cryptojacking บนเครือข่ายของบริษัทค้าปลีกและอีคอมเมิร์ซ โดยพบว่ามีการใช้ PowerShell user agent ที่ไม่เคยเห็นมาก่อน ซึ่งกลายเป็นจุดเริ่มต้นของการสืบสวนที่นำไปสู่การค้นพบมัลแวร์ NBMiner ที่ถูกฝังอยู่ในกระบวนการของ Windows Character Map (charmap.exe) มัลแวร์นี้ถูกโหลดผ่านสคริปต์ infect.ps1 ที่ถูกเข้ารหัสหลายชั้นด้วย Base64 และ XOR เพื่อหลบเลี่ยงการตรวจจับ โดยใช้ AutoIt loader ที่ถูกออกแบบมาอย่างซับซ้อนเพื่อ inject ตัวเองเข้าไปในโปรเซสที่ดูปลอดภัยและไม่เป็นพิษภัย เมื่อเข้าไปใน charmap.exe แล้ว มัลแวร์จะตรวจสอบว่า Task Manager เปิดอยู่หรือไม่, มีแอนตี้ไวรัสตัวอื่นนอกจาก Windows Defender หรือเปล่า และพยายามยกระดับสิทธิ์ผู้ใช้โดยหลบเลี่ยง UAC เพื่อให้สามารถขุดเหรียญ Monero ได้อย่างเงียบ ๆ ผ่าน mining pool ที่ชื่อ gulf.moneroocean.stream สิ่งที่ทำให้การโจมตีนี้น่ากังวลคือการใช้เทคนิค zero-click และการฝังตัวในหน่วยความจำโดยไม่แตะไฟล์บนดิสก์เลย ทำให้ระบบตรวจจับแบบ signature-based หรือ sandboxing แทบไม่มีโอกาสเห็นพฤติกรรมผิดปกติ Jason Soroko จาก Sectigo เตือนว่า cryptojacking ไม่ใช่แค่เรื่องของค่าไฟแพงหรือเครื่องช้า แต่เป็น “สัญญาณของการบุกรุก” ที่อาจเป็นหน้ากากของแคมเปญใหญ่ เช่น การเก็บ credentials หรือการสอดแนมเครือข่ายในระดับองค์กร ✅ รูปแบบการโจมตีที่ตรวจพบโดย Darktrace ➡️ เริ่มจาก PowerShell user agent ที่ไม่เคยเห็นมาก่อน ➡️ ใช้ infect.ps1 ที่ถูกเข้ารหัสหลายชั้นด้วย Base64 และ XOR ➡️ โหลด AutoIt executable และ inject เข้าไปใน charmap.exe ✅ เทคนิคการหลบเลี่ยงและยกระดับสิทธิ์ ➡️ ตรวจสอบว่า Task Manager เปิดอยู่หรือไม่ ➡️ ตรวจสอบว่า Windows Defender เป็นแอนตี้ไวรัสเดียวที่ติดตั้ง ➡️ พยายาม bypass UAC เพื่อยกระดับสิทธิ์ผู้ใช้ ✅ การฝังตัวและการขุดคริปโต ➡️ ฝังตัวในหน่วยความจำของ charmap.exe โดยไม่แตะไฟล์บนดิสก์ ➡️ เชื่อมต่อกับ mining pool gulf.moneroocean.stream เพื่อขุด Monero ➡️ ใช้เทคนิค zero-click และ anti-sandboxing เพื่อหลบเลี่ยงการตรวจจับ ✅ ความเห็นจากผู้เชี่ยวชาญด้านความปลอดภัย ➡️ Jason Soroko เตือนว่า cryptojacking คือสัญญาณของการบุกรุก ➡️ อาจเป็นหน้ากากของแคมเปญที่ใหญ่กว่าการขุดเหรียญ ➡️ การตรวจจับต้องอาศัยการวิเคราะห์พฤติกรรม ไม่ใช่แค่ signature https://hackread.com/new-malware-uses-windows-character-map-cryptomining/
HACKREAD.COM
New Malware Uses Windows Character Map for Cryptomining
Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
0 ความคิดเห็น 0 การแบ่งปัน 79 มุมมอง 0 รีวิว