Gli hacker hanno avuto accesso all'API secondaria del sito CPUID tra il 9 aprile alle 15:00 UTC e il 10 aprile alle 10:00 UTC. Durante questo periodo, il sito ha offerto collegamenti di download malevoli al posto dei validi installer di alcuni popolari strumenti di monitoraggio hardware. CPUID ha confermato la violazione e ha comunicato che l'API interessata è stata corretta. Ora offrono versioni pulite di tutti gli strumenti interessati.
Gli utenti che hanno scaricato CPU-Z, HWMonitor, HWMonitor Pro o PerfMonitor tra il 9 aprile alle 15:00 UTC e il 10 aprile alle 10:00 UTC potrebbero aver ricevuto versioni modificate. Tuttavia, i file binari originali firmati di CPUID non sono stati alterati.
Quale Malware è Stato Distribuito Tramite i Download di CPUID?
I download malevoli sono stati reindirizzati attraverso lo spazio di archiviazione Cloudflare R2 e hanno presentato un falso installer di HWiNFO chiamato HWiNFO_Monitor_Setup, impacchettato con il wrapper Inno Setup in lingua russa. Secondo l'analisi di Kaspersky, le versioni trojan contenevano un file eseguibile legalmente firmato insieme a un DLL malevolo chiamato CRYPTBASE.dll, utilizzato per il caricamento laterale del DLL.
Il DLL malevolo ha eseguito controlli anti-sandbox prima di connettersi a un server di comando e controllo e ha eseguito il payload finale identificato come STX RAT. Questo trojan di accesso remoto ha capacità di furto di informazioni ed è stato documentato dai ricercatori di eSentire. Il malware ha funzionato quasi interamente in memoria e ha utilizzato tecniche per evitare il rilevamento da parte di software antivirus e di endpoint.
Le quattro versioni software interessate erano:
- CPU-Z versione 2.19
- HWMonitor Pro versione 1.57
- HWMonitor versione 1.63
- PerfMonitor versione 2.04.
Portata dell'Impatto del Malware di CPUID
Kaspersky stima che durante il periodo indicato, oltre 150 utenti abbiano scaricato una variante malevola. Tra le vittime ci sono individui e organizzazioni nei settori del commercio al dettaglio, produzione, consulenza, telecomunicazioni e agricoltura, principalmente in Brasile, Russia e Cina.
Il file ZIP correlato è stato rilevato da 20 motori antivirus su VirusTotal; alcuni lo hanno identificato come Tedy Trojan, altri come Artemis Trojan.
I ricercatori di vxunderground e Igor's Labs hanno verificato in modo indipendente la catena di download compromessa. vxunderground ha osservato che il malware utilizzava lo stesso indirizzo di comando e controllo visto nella campagna di marzo che ha coinvolto un falso sito FileZilla utilizzato per distribuire download malevoli. Questo suggerisce che lo stesso attore della minaccia potrebbe essere responsabile di entrambi gli eventi.
Cosa Dovrebbero Fare Ora gli Utenti di CPUID Colpiti?
Gli utenti che hanno scaricato uno qualsiasi dei quattro strumenti interessati tra il 9 aprile alle 15:00 UTC e il 10 aprile alle 10:00 UTC dovrebbero considerare che le loro installazioni potrebbero essere state compromesse. Kaspersky ha pubblicato indicatori di compromissione contenenti file malevoli, DLL e URL associati all'attacco.
CPUID sottolinea che i loro file binari originali firmati non sono stati modificati e che gli URL di download diretti dei file validi non sono cambiati durante l'incidente. Attualmente, i download dal sito CPUID sono stati verificati come sicuri.
![Esperienza Utente: C'è una caratteristica che cerco in questa batteria MagSafe [Video]](/resimler/kullanici-deneyimi-bu-magsafe-bataryada-aradigim-bir-ozellik-var-video.jpg)
Commenti
(3 Commenti)