Hackerlar, CPUID web sitesinin ikincil API'sine 9 Nisan saat 15:00 UTC ile 10 Nisan saat 10:00 UTC arasında erişim sağladı. Bu süre zarfında, site birkaç popüler donanım izleme aracının geçerli yükleyicileri yerine kötü amaçlı indirme bağlantıları sundu. CPUID, ihlali doğruladı ve etkilenen API'nin düzeltildiğini bildirdi. Artık tüm etkilenen araçların temiz sürümlerini sunuyorlar.

9 Nisan saat 15:00 UTC ile 10 Nisan saat 10:00 UTC arasında CPU-Z, HWMonitor, HWMonitor Pro veya PerfMonitor indiren kullanıcılar, değiştirilmiş sürümler almış olabilir. Ancak, CPUID'nin orijinal imzalı ikili dosyaları değiştirilmedi.

CPUID İndirmeleri Üzerinden Hangi Kötü Amaçlı Yazılım Dağıtıldı?

Kötü amaçlı indirmeler, Cloudflare R2 depolama alanı üzerinden yönlendirildi ve Rusça Inno Setup sarmalayıcısı ile paketlenmiş sahte bir HWiNFO yükleyicisi olan HWiNFO_Monitor_Setup'ı sundu. Kaspersky'nin analizine göre, trojan versiyonları, kötü amaçlı bir DLL olan CRYPTBASE.dll ile birlikte yasal olarak imzalanmış bir çalıştırılabilir dosya içeriyordu ve bu, DLL yan yükleme için kullanılıyordu.

Kötü amaçlı DLL, bir komut ve kontrol sunucusuna bağlanmadan önce anti-sandbox kontrolleri gerçekleştirdi ve STX RAT olarak tanımlanan nihai yükü çalıştırdı. Bu uzaktan erişim trojanı, bilgi çalma yeteneklerine sahip ve eSentire araştırmacıları tarafından belgelenmiştir. Kötü amaçlı yazılım neredeyse tamamen bellekte çalıştı ve uç nokta tespiti ve antivirüs yazılımlarından kaçınmak için teknikler kullandı.

Etkilenen dört yazılım sürümü şunlardı:

  • CPU-Z sürüm 2.19
  • HWMonitor Pro sürüm 1.57
  • HWMonitor sürüm 1.63
  • PerfMonitor sürüm 2.04.

CPUID Kötü Amaçlı Yazılım Etkisi Kapsamı

Kaspersky, zaman diliminde 150'den fazla kullanıcının kötü amaçlı bir varyant indirdiğini tahmin ediyor. Kurbanlar arasında perakende, üretim, danışmanlık, telekomünikasyon ve tarım sektörlerinde yer alan bireyler ve kuruluşlar bulunuyor, çoğunlukla Brezilya, Rusya ve Çin'de.

İlgili ZIP dosyası, VirusTotal üzerinde 20 antivirüs motoru tarafından tespit edildi; bazıları bunu Tedy Trojan, diğerleri ise Artemis Trojan olarak tanımladı.

vxunderground ve Igor's Labs araştırmacıları, ihlal edilen indirme zincirini bağımsız olarak doğruladılar. vxunderground, kötü amaçlı yazılımın, kötü amaçlı indirmeleri dağıtmak için kullanılan sahte FileZilla sitesinin yer aldığı Mart kampanyasında gözlemlenen aynı komut ve kontrol adresini kullandığını belirtti. Bu, aynı tehdit aktörünün her iki olaydan da sorumlu olabileceğini öne sürüyor.

Etkilenen CPUID Kullanıcılarının Şimdi Ne Yapması Gerekiyor?

9 Nisan saat 15:00 UTC ile 10 Nisan saat 10:00 UTC arasında etkilenen dört araçtan herhangi birini indiren kullanıcılar, kurulumlarının potansiyel olarak tehlikeye atılmış olabileceğini düşünmelidir. Kaspersky, saldırıyla ilişkili kötü amaçlı dosyalar, DLL'ler ve URL'ler içeren ihlal göstergelerini yayımladı.

CPUID, orijinal imzalı ikili dosyalarının değiştirilmediğini ve olay sırasında geçerli dosyaların doğrudan indirme URL'lerinin değişmediğini belirtmektedir. Şu anda, CPUID web sitesinden yapılan indirmelerin güvenli olduğu doğrulanmıştır.