Sitio web de CPUID comprometido: Versiones maliciosas de utilidades populares de diagnóstico para PC
El sitio web de CPUID, fabricante de herramientas de diagnóstico, fue blanco de un ataque donde los enlaces de descarga de CPU-Z y HWMonitor conducían a archivos infectados. Esto provocó la propagación de un Troyano de Acceso Remoto (RAT) entre los usuarios, incluidos profesionales de TI.
Mecanismo del ataque y detalles técnicos
Los atacantes reemplazaron los enlaces en el recurso oficial, redirigiendo a los visitantes a archivos comprimidos que contenían software malicioso. Los paquetes infectados incluían un archivo ejecutable legítimo de la utilidad y una biblioteca maliciosa CRYPTBASE.dll. Al iniciarse, el sistema cargaba esta biblioteca, activando una cadena que finalmente instalaba el troyano STX RAT. Este opera en memoria, proporcionando control remoto y robo de datos.
El ataque afectó a las versiones CPU-Z 2.19, HWMonitor 1.63 y 1.57 Pro, PerfMonitor 2.04. La compilación de 64 bits de HWMonitor resultó particularmente vulnerable. La actividad de los hackers se estima entre el 3 y el 10 de abril, con un pico desde las 15:00 UTC del 9 de abril hasta las 10:00 UTC del 10 de abril.
Objetivos y consecuencias para los usuarios
Las utilidades de CPUID son ampliamente utilizadas para el monitoreo de hardware, abarcando desde entusiastas hasta administradores corporativos. Estos usuarios suelen trabajar con datos confidenciales —cuentas, claves de acceso y VPN—. El troyano podría haber capturado sesiones, cookies y contraseñas, abriendo caminos hacia redes internas de empresas.
Según expertos, más de 150 personas se vieron afectadas, principalmente ciudadanos privados. Sin embargo, organizaciones de los sectores minorista, manufactura, consultoría, telecomunicaciones y agricultura también fueron víctimas. Esto resalta los riesgos para negocios donde las herramientas de diagnóstico son omnipresentes.
- Riesgos clave para las víctimas:
- Acceso remoto al dispositivo.
- Robo de credenciales y tokens de sesión.
- Acceso a recursos corporativos mediante VPN.
- Propagación potencial dentro de redes locales.
Conexión con incidentes anteriores
Este ataque refleja las tácticas de la campaña de marzo que involucraba a FileZilla falso: sustitución de DLL, infraestructura similar y dominios de comando y control. Los expertos rastrean elementos de la cadena hasta julio de 2025, lo que indica un grupo organizado con métodos refinados. Este enfoque minimiza la detección al disfrazarse como actualizaciones oficiales.
Contexto e importancia industrial
El compromiso de los canales de distribución de software es una amenaza creciente en ciberseguridad. Los factores de éxito incluyen la confianza de la marca y controles débiles de integridad de descarga. Las consecuencias implican la necesidad de verificar hashes de archivos y transitar a actualizaciones firmadas. Para la industria, esto señala la necesidad de fortalecer la verificación de proveedores.
Contexto general: según informes de la industria, tales ataques a la cadena de suministro aumentaron un 30% durante el año. Se recomienda a los usuarios escanear sus sistemas y actualizar el software antivirus.
Puntos clave
- Los hackers reemplazaron enlaces en cpuid.com, extendiendo el STX RAT mediante DLL.
- Versiones afectadas CPU-Z 2.19, HWMonitor 1.63/Pro 1.57; más de 150 víctimas.
- Vinculación con ataques desde julio de 2025, incluido el incidente de FileZilla de marzo.
- Sitio limpiado para el 10 de abril, pero los riesgos para usuarios corporativos persisten.
- Recomendación: Verificar hashes y usar sandbox para pruebas.
— Editorial Team
Aún no hay comentarios.