Les hackers ont eu accès à l'API secondaire du site CPUID entre le 9 avril à 15h00 UTC et le 10 avril à 10h00 UTC. Pendant cette période, le site a proposé des liens de téléchargement malveillants au lieu des installateurs valides de plusieurs outils de surveillance du matériel populaires. CPUID a confirmé la violation et a signalé que l'API affectée avait été corrigée. Ils proposent désormais des versions propres de tous les outils affectés.

Les utilisateurs ayant téléchargé CPU-Z, HWMonitor, HWMonitor Pro ou PerfMonitor entre le 9 avril à 15h00 UTC et le 10 avril à 10h00 UTC ont pu recevoir des versions modifiées. Cependant, les fichiers binaires originaux signés de CPUID n'ont pas été altérés.

Quel logiciel malveillant a été distribué via les téléchargements de CPUID ?

Les téléchargements malveillants ont été redirigés via un espace de stockage Cloudflare R2 et ont proposé un faux installateur HWiNFO nommé HWiNFO_Monitor_Setup, empaqueté avec un installeur Inno Setup en russe. Selon l'analyse de Kaspersky, les versions trojan contenaient un fichier exécutable signé légalement accompagné d'un DLL malveillant nommé CRYPTBASE.dll, utilisé pour le chargement latéral de DLL.

Le DLL malveillant a effectué des contrôles anti-sandbox avant de se connecter à un serveur de commande et de contrôle et d'exécuter la charge utile finale identifiée comme STX RAT. Ce cheval de Troie d'accès à distance possède des capacités de vol d'informations et a été documenté par des chercheurs d'eSentire. Le logiciel malveillant a fonctionné presque entièrement en mémoire et a utilisé des techniques pour éviter la détection par les points de terminaison et les logiciels antivirus.

Les quatre versions de logiciels affectées étaient :

  • Version 2.19 de CPU-Z
  • Version 1.57 de HWMonitor Pro
  • Version 1.63 de HWMonitor
  • Version 2.04 de PerfMonitor.

Portée de l'impact du logiciel malveillant de CPUID

Kaspersky estime qu'au cours de cette période, plus de 150 utilisateurs ont téléchargé une variante malveillante. Parmi les victimes, on trouve des individus et des organisations dans les secteurs du commerce de détail, de la fabrication, du conseil, des télécommunications et de l'agriculture, principalement au Brésil, en Russie et en Chine.

Le fichier ZIP concerné a été détecté par 20 moteurs antivirus sur VirusTotal ; certains l'ont identifié comme Tedy Trojan, d'autres comme Artemis Trojan.

Les chercheurs de vxunderground et d'Igor's Labs ont validé indépendamment la chaîne de téléchargement compromise. vxunderground a noté que le logiciel malveillant utilisait la même adresse de commande et de contrôle observée dans une campagne de mars impliquant un faux site FileZilla utilisé pour distribuer des téléchargements malveillants. Cela suggère que le même acteur de menace pourrait être responsable des deux incidents.

Que doivent faire maintenant les utilisateurs de CPUID affectés ?

Les utilisateurs ayant téléchargé l'un des quatre outils affectés entre le 9 avril à 15h00 UTC et le 10 avril à 10h00 UTC doivent considérer que leurs installations pourraient avoir été compromises. Kaspersky a publié des indicateurs de compromission contenant des fichiers malveillants, des DLL et des URL associés à l'attaque.

CPUID indique que ses fichiers binaires originaux signés n'ont pas été modifiés et que les URL de téléchargement direct des fichiers valides n'ont pas changé pendant l'incident. Actuellement, il a été vérifié que les téléchargements depuis le site Web de CPUID sont sûrs.