Site Web de CPUID Piraté : Versions Malveillantes des Utilitaires de Diagnostic PC
Le site web de CPUID, un fabricant d'outils de diagnostic, a été ciblé par une attaque où les liens de téléchargement pour CPU-Z et HWMonitor menaient à des fichiers infectés. Cela a entraîné la propagation d'un Cheval de Troie d'accès à distance (RAT) parmi les utilisateurs, y compris des professionnels de l'informatique.
Mécanisme de l'Attaque et Détails Techniques
Les attaquants ont remplacé les liens sur la ressource officielle, redirigeant les visiteurs vers des archives contenant des logiciels malveillants. Les paquets infectés contenaient un fichier exécutable d'utilitaire légitime et une bibliothèque CRYPTBASE.dll malveillante. Au lancement, le système chargeait cette bibliothèque, déclenchant une chaîne qui installait finalement le cheval de Troie STX RAT. Ce cheval de Troie fonctionne en mémoire, offrant un contrôle à distance et un vol de données.
L'attaque a affecté les versions CPU-Z 2.19, HWMonitor 1.63 et 1.57 Pro, ainsi que PerfMonitor 2.04. La version 64 bits de HWMonitor s'est révélée particulièrement vulnérable. L'activité des pirates est estimée entre le 3 et le 10 avril, avec un pic du 9 avril à 15h00 UTC au 10 avril à 10h00 UTC.
Cibles et Conséquences pour les Utilisateurs
Les utilitaires CPUID sont largement utilisés pour la surveillance du matériel, allant des passionnés aux administrateurs d'entreprise. Ces utilisateurs travaillent souvent avec des données confidentielles — comptes, clés d'accès et VPN. Le cheval de Troie aurait pu capturer des sessions, des cookies et des mots de passe, ouvrant des voies vers les réseaux internes des entreprises.
Selon les experts, plus de 150 personnes ont été touchées, principalement des particuliers. Cependant, des organisations des secteurs du commerce de détail, de la fabrication, du conseil, des télécommunications et de l'agriculture ont également été victimes. Cela met en évidence les risques pour les entreprises où les outils de diagnostic sont omniprésents.
- Risques Clés pour les Victimes :
- Accès à distance à l'appareil.
- Vol d'identifiants et de jetons de session.
- Accès aux ressources d'entreprise via VPN.
- Propagation potentielle au sein des réseaux locaux.
Lien avec les Incidents Précédents
Cette attaque fait écho aux tactiques de la campagne de mars impliquant de faux FileZilla : substitution de DLL, infrastructure similaire et domaines de commande et de contrôle. Les experts retracent des éléments de la chaîne jusqu'à juillet 2025, indiquant un groupe organisé avec des méthodes affinées. Cette approche minimise la détection en se faisant passer pour des mises à jour officielles.
Contexte et Importance Industrielle
La compromission des canaux de distribution de logiciels est une menace croissante en cybersécurité. Les facteurs de succès incluent la confiance dans la marque et les contrôles d'intégrité de téléchargement faibles. Les conséquences impliquent la nécessité de vérifier les hachages de fichiers et de passer à des mises à jour signées. Pour l'industrie, cela signale un besoin de renforcer la vérification des fournisseurs.
Contexte général : ces attaques de la chaîne d'approvisionnement ont augmenté de 30% au cours de l'année, selon les rapports de l'industrie. Les utilisateurs sont invités à scanner leurs systèmes et à mettre à jour leur logiciel antivirus.
Points Clés à Retenir
- Les pirates ont remplacé les liens sur cpuid.com, propageant le STX RAT via DLL.
- Versions affectées CPU-Z 2.19, HWMonitor 1.63/Pro 1.57 ; plus de 150 victimes.
- Lien avec les attaques depuis juillet 2025, y compris l'incident FileZilla de mars.
- Site nettoyé avant le 10 avril, mais les risques pour les utilisateurs d'entreprise persistent.
- Recommandation : Vérifier les hachages et utiliser un bac à sable pour les tests.
— Editorial Team
Aucun commentaire pour le moment.