Hacker haben zwischen dem 9. April um 15:00 UTC und dem 10. April um 10:00 UTC auf die sekundäre API der CPUID-Website zugegriffen. In diesem Zeitraum bot die Website anstelle der gültigen Installer mehrerer beliebter Hardware-Überwachungstools bösartige Download-Links an. CPUID bestätigte die Verletzung und berichtete, dass die betroffene API behoben wurde. Sie bieten jetzt saubere Versionen aller betroffenen Tools an.
Nutzer, die zwischen dem 9. April um 15:00 UTC und dem 10. April um 10:00 UTC CPU-Z, HWMonitor, HWMonitor Pro oder PerfMonitor heruntergeladen haben, könnten modifizierte Versionen erhalten haben. Allerdings wurden die original signierten Binärdateien von CPUID nicht verändert.
Welche Schadsoftware Wurde Über CPUID-Downloads Verbreitet?
Die bösartigen Downloads wurden über den Cloudflare R2-Speicher umgeleitet und boten einen gefälschten HWiNFO-Installer namens HWiNFO_Monitor_Setup, der mit einem russischen Inno Setup-Wrapper verpackt war. Laut der Analyse von Kaspersky enthielten die Trojaner-Versionen eine legitim signierte ausführbare Datei zusammen mit einer bösartigen DLL namens CRYPTBASE.dll, die für DLL-Hijacking verwendet wurde.
Die bösartige DLL führte Anti-Sandbox-Checks durch, bevor sie sich mit einem Command-and-Control-Server verband und die als STX RAT bezeichnete finale Payload ausführte. Dieser Remote Access Trojaner hat die Fähigkeit, Informationen zu stehlen und wurde von eSentire-Forschern dokumentiert. Die Schadsoftware arbeitete nahezu vollständig im Speicher und verwendete Techniken, um Endpoint-Detection und Antiviren-Software zu umgehen.
Die betroffenen vier Softwareversionen waren:
- CPU-Z Version 2.19
- HWMonitor Pro Version 1.57
- HWMonitor Version 1.63
- PerfMonitor Version 2.04.
Umfang der Schadsoftware-Effekte von CPUID
Kaspersky schätzt, dass in diesem Zeitraum über 150 Nutzer eine bösartige Variante heruntergeladen haben. Zu den Opfern gehören Einzelpersonen und Organisationen aus den Bereichen Einzelhandel, Produktion, Beratung, Telekommunikation und Landwirtschaft, hauptsächlich in Brasilien, Russland und China.
Die betroffene ZIP-Datei wurde von 20 Antiviren-Engines auf VirusTotal erkannt; einige bezeichneten sie als Tedy Trojan, andere als Artemis Trojan.
Forscher von vxunderground und Igor's Labs haben die kompromittierte Download-Kette unabhängig verifiziert. vxunderground stellte fest, dass die Schadsoftware dieselbe Command-and-Control-Adresse verwendete, die in der März-Kampagne beobachtet wurde, in der die gefälschte FileZilla-Website verwendet wurde, um bösartige Downloads zu verbreiten. Dies deutet darauf hin, dass derselbe Bedrohungsakteur für beide Vorfälle verantwortlich sein könnte.
Was Müssen Betroffene CPUID-Nutzer Jetzt Tun?
Nutzer, die zwischen dem 9. April um 15:00 UTC und dem 10. April um 10:00 UTC eines der vier betroffenen Tools heruntergeladen haben, sollten davon ausgehen, dass ihre Installationen möglicherweise gefährdet sind. Kaspersky hat Indikatoren für Kompromittierungen veröffentlicht, die bösartige Dateien, DLLs und URLs im Zusammenhang mit dem Angriff enthalten.
CPUID weist darauf hin, dass die original signierten Binärdateien nicht verändert wurden und dass die gültigen Download-URLs während des Vorfalls nicht geändert wurden. Derzeit wurde bestätigt, dass Downloads von der CPUID-Website sicher sind.
![Die CardPointers-App kann jetzt mit ChatGPT und mehr integriert werden [50% Rabatt]](/resimler/cardpointers-uygulamasi-artik-chatgpt-ve-daha-fazlasi-ile-entegre-olabiliyor-yuzde-50-indirim.webp)
Kommentare
(3 Kommentare)