Хакери са компрометирали API на проекта CPUID и са подменили линковете за изтегляне на официалния сайт, разпространявайки зловредни версии на популярните инструменти CPU-Z и HWMonitor.

Двата продукта се използват от милиони потребители по света за диагностика и мониторинг на компютърни системи, което прави атаката особено ефективна.

Как е извършена атаката

Вместо оригиналните файлове, потребителите са били пренасочвани към зловредни изпълними файлове, хоствани в облачната услуга Cloudflare R2. Един от основните индикатори за компрометиране е файл с име HWiNFO_Monitor_Setup, който:

• стартира подозрителен инсталатор на руски език
• използва Inno Setup wrapper
• се представя за легитимен инструмент, но всъщност е троянизиран

Интересното е, че оригиналните файлове не са били променени – атаката е насочена към самия процес на разпространение.

Сложен зловреден код и техники за укриване

Анализи от независими изследователи показват, че става дума за напреднал зловреден инструмент, който:

• работи почти изцяло в паметта (fileless поведение)
• използва многоетапно зареждане (multi-stage payload)
• прилага техники за избягване на антивирусни и EDR решения
• маскира се като легитимен софтуер

Зловредният код използва DLL sideloading чрез файл CRYPTBASE.dll, който осъществява връзка с командно-контролен (C2) сървър и изтегля допълнителни полезни товари.

Финалният payload – инфостийлър

Крайният етап на атаката включва внедряване на STX RAT – зловреден софтуер с възможности за:

• кражба на чувствителни данни
• отдалечен достъп до системата
• наблюдение на активността

Някои анализи класифицират пробата и като инфостийлър троянец.

Продължителност и обхват

Според разследвания, атаката е продължила приблизително шест часа – между 9 и 10 април. Засегнати версии включват:

• CPU-Z 2.19
• HWMonitor 1.63
• HWMonitor Pro 1.57
• PerfMonitor 2.04

Оценките сочат, че над 150 потребители са изтеглили зловредните файлове, включително организации от различни индустрии.

Връзка с други кампании

Има индикации, че същата група стои зад атака срещу потребители на FileZilla, при която също са разпространявани трояни чрез фалшиви сайтове.

Това показва тенденция към таргетиране на широко използвани инструменти с цел максимално разпространение.

Реакция и текущ статус

От CPUID съобщават, че:

• пробивът е локализиран и отстранен
• компрометиран е бил страничен API компонент
• оригиналните подписани файлове не са били засегнати

Какво трябва да направят потребителите

Ако сте изтеглили някой от засегнатите инструменти в този период:

• незабавно изтрийте изтегления файл
• сканирайте системата с надежден антивирусен софтуер
• проверете за необичайни процеси и връзки
• сменете всички пароли, използвани на същото устройство

Инцидентът е класически пример за атака по веригата за доставки, при която не самият софтуер, а каналът за разпространение е компрометиран. Това подчертава необходимостта от допълнителна проверка на изтеглянията – дори когато идват от официални източници.