Недавно хакеры взломали веб-сайт CPUID, разработчиков сверхпопулярных инструментов для диагностики оборудования CPU-Z и HWMonitor, и использовали его для распространения вредоносного ПО вместо чистых загрузок в рамках кампании, которая продолжалась около 6 часов.
Пользователь Reddit под ником u/DMkiIIer заметил, что что-то пошло не так, когда он попытался обновить HWMonitor до версии 1.63. Официальный сайт выдал ему файл с обманчивым названием “HWiNFO_Monitor_Setup.exe”, который немедленно вызвал срабатывание Защитника Windows. Когда пользователь все же запустил его, появилось русскоязычное окно установщика, что сделало очевидным: это не легитимное обновление.
CPUID подтвердила, что CPU-Z также был скомпрометирован. Вредоносный пакет (cpu-z_2.19-en.zip) содержал легитимные исполняемые файлы CPU-Z, но злоумышленники добавили поддельный файл, скомпилированный на Zig, с именем “CRYPTBASE.dll” рядом с чистым приложением. Когда пользователь запускал настоящий CPU-Z, программа неосознанно загружала эту вредоносную DLL в свое адресное пространство в первую очередь.
Как только вредоносное ПО заражало систему, оно начинало работать, выискивая учетные данные браузера. Полезная нагрузка, идентифицированная как вариант “Alien RAT”, работала почти полностью в памяти компьютера, чтобы избежать обнаружения антивирусным ПО, и использовала PowerShell для получения дополнительных инструкций со своего C2-сервера, а также была замечена в атаках на Google Chrome с целью расшифровки и кражи сохраненных паролей и токенов входа.
Как это произошло? Хакеры получили контроль над второстепенным API на сайте cpuid.com. Это позволило им “отравить” ссылки для распространения загрузок, даже не затрагивая исходный код или серверы сборки CPUID. Сами файлы, по всей видимости, не были скомпрометированы, поскольку злоумышленники просто перенаправили кнопки загрузки на свой несанкционированный бакет хранения Cloudflare.
Как упоминалось ранее, CPU-Z и HWMonitor — очень популярные диагностические инструменты. Первый используется для точного определения оборудования внутри ПК, а второй в реальном времени отслеживает состояние системы, такое как температура и напряжение. После того как были подняты тревоги по поводу взлома, CPUID быстро отключила свой веб-сайт, определила скомпрометированный побочный API, устранила уязвимость и восстановила исходную, чистую маршрутизацию загрузок.
Если вы или кто-то из ваших знакомых недавно (9 или 10 апреля) загружал эти инструменты, следует считать, что ваша система скомпрометирована. Аналитики по безопасности рекомендуют полностью переустановить Windows и немедленно выйти из всех активных веб-сессий, чтобы аннулировать любые украденные токены браузера, а также сменить все свои пароли.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – David Uzondu
