- Автор темы
- #1
Сайт проекта CPUID, распространяющего такие популярные утилиты, как CPU-Z, HWMonitor, HWMonitor Pro и PerfMonitor, был скомпрометирован. Около суток все ссылки на загрузку вели на вредоносные сборки, которые в итоге разворачивали на машинах жертв RAT под названием STX.
Первыми на проблему обратили внимание пользователи Reddit, которые заметили, что официальный портал отдает странный файл HWiNFO_Monitor_Setup — инсталлятор на базе Inno Setup с интерфейсом на русском языке. То есть вместо утилиты от CPUID загружалась подделка под совершенно другой продукт (HWiNFO) от стороннего разработчика. Прямые ссылки на чистые бинарники при этом продолжали работать, так как злоумышленники подменили только публичные ссылки для загрузки.
Вскоре представители CPUID подтвердили факт атаки и пояснили, что расследование еще продолжается, но, судя по всему, злоумышленники получили доступ к «вспомогательной функции, по сути, второстепенному API». Из-за чего ресурс случайным образом показывал посетителям вредоносные ссылки. При этом оригинальные подписанные бинарники не пострадали. В компании также отметили, что взлом пришелся на период, когда основной разработчик проекта находился в отпуске.
По информации аналитиков «Лаборатории Касперского», инцидент длился с 15:00 UTC 9 апреля примерно до 10:00 UTC 10 апреля. В это время через сайт распространялись зараженные версии:
DLL отвечала за связь с управляющим сервером атакующих и запуск дополнительных пейлоадов, предварительно проверяя, не запущена ли она в песочнице. Финальной полезной нагрузкой служил STX RAT, подробно описанный на прошлой неделе аналитиками компании eSentire.
Помимо кражи данных, STX RAT поддерживает создание скрытого удаленного рабочего стола (HVNC), выполнение EXE-, DLL-, PowerShell- и шелл-кода в памяти, проксирование и туннелирование трафика через зараженную машину, а также позволяет своим операторам управлять рабочим столом жертвы.
Исследователи отмечают, что адрес управляющего сервера и конфигурация подключения полностью совпадают с индикаторами мартовской вредоносной кампании, в рамках которой через фейковые сайты раздавались поддельные инсталляторы FileZilla.
По оценкам экспертов, малварь успели загрузить более 150 пользователей. В основном это были частные лица, но среди жертв оказались и организации из сфер розничной торговли, производственного сектора, консалтинга, телекома и сельского хозяйства. Большая часть заражений пришлась на Бразилию, Россию и Китай.
Первыми на проблему обратили внимание пользователи Reddit, которые заметили, что официальный портал отдает странный файл HWiNFO_Monitor_Setup — инсталлятор на базе Inno Setup с интерфейсом на русском языке. То есть вместо утилиты от CPUID загружалась подделка под совершенно другой продукт (HWiNFO) от стороннего разработчика. Прямые ссылки на чистые бинарники при этом продолжали работать, так как злоумышленники подменили только публичные ссылки для загрузки.
Вскоре представители CPUID подтвердили факт атаки и пояснили, что расследование еще продолжается, но, судя по всему, злоумышленники получили доступ к «вспомогательной функции, по сути, второстепенному API». Из-за чего ресурс случайным образом показывал посетителям вредоносные ссылки. При этом оригинальные подписанные бинарники не пострадали. В компании также отметили, что взлом пришелся на период, когда основной разработчик проекта находился в отпуске.
По информации аналитиков «Лаборатории Касперского», инцидент длился с 15:00 UTC 9 апреля примерно до 10:00 UTC 10 апреля. В это время через сайт распространялись зараженные версии:
- CPU-Z 2.19;
- HWMonitor Pro 1.57;
- HWMonitor 1.63;
- PerfMonitor 2.04.
DLL отвечала за связь с управляющим сервером атакующих и запуск дополнительных пейлоадов, предварительно проверяя, не запущена ли она в песочнице. Финальной полезной нагрузкой служил STX RAT, подробно описанный на прошлой неделе аналитиками компании eSentire.
Помимо кражи данных, STX RAT поддерживает создание скрытого удаленного рабочего стола (HVNC), выполнение EXE-, DLL-, PowerShell- и шелл-кода в памяти, проксирование и туннелирование трафика через зараженную машину, а также позволяет своим операторам управлять рабочим столом жертвы.
Исследователи отмечают, что адрес управляющего сервера и конфигурация подключения полностью совпадают с индикаторами мартовской вредоносной кампании, в рамках которой через фейковые сайты раздавались поддельные инсталляторы FileZilla.
По оценкам экспертов, малварь успели загрузить более 150 пользователей. В основном это были частные лица, но среди жертв оказались и организации из сфер розничной торговли, производственного сектора, консалтинга, телекома и сельского хозяйства. Большая часть заражений пришлась на Бразилию, Россию и Китай.
В настоящее время разработчики CPUID уже устранили проблему, и сайт снова распространяет безопасные версии утилит.