Retour à l'accueil

Piratage CPUID : Cheval de Troie dans CPU-Z et HWMonitor

Site web CPUID compromis : les liens vers CPU-Z et HWMonitor menaient au cheval de Troie STX RAT via DLL malveillante. L'attaque a affecté plus de 150 utilisateurs, y compris des entreprises. Lié à des campagnes précédentes depuis juillet 2025. Recommandations pour la protection et les vérifications système.

Cheval de Troie au lieu de CPU-Z : comment le site web CPUID a été piraté
Advertisement 728x90

Site Web de CPUID Piraté : Versions Malveillantes des Utilitaires de Diagnostic PC

Le site web de CPUID, un fabricant d'outils de diagnostic, a été ciblé par une attaque où les liens de téléchargement pour CPU-Z et HWMonitor menaient à des fichiers infectés. Cela a entraîné la propagation d'un Cheval de Troie d'accès à distance (RAT) parmi les utilisateurs, y compris des professionnels de l'informatique.

Mécanisme de l'Attaque et Détails Techniques

Les attaquants ont remplacé les liens sur la ressource officielle, redirigeant les visiteurs vers des archives contenant des logiciels malveillants. Les paquets infectés contenaient un fichier exécutable d'utilitaire légitime et une bibliothèque CRYPTBASE.dll malveillante. Au lancement, le système chargeait cette bibliothèque, déclenchant une chaîne qui installait finalement le cheval de Troie STX RAT. Ce cheval de Troie fonctionne en mémoire, offrant un contrôle à distance et un vol de données.

L'attaque a affecté les versions CPU-Z 2.19, HWMonitor 1.63 et 1.57 Pro, ainsi que PerfMonitor 2.04. La version 64 bits de HWMonitor s'est révélée particulièrement vulnérable. L'activité des pirates est estimée entre le 3 et le 10 avril, avec un pic du 9 avril à 15h00 UTC au 10 avril à 10h00 UTC.

Google AdInline article slot

Cibles et Conséquences pour les Utilisateurs

Les utilitaires CPUID sont largement utilisés pour la surveillance du matériel, allant des passionnés aux administrateurs d'entreprise. Ces utilisateurs travaillent souvent avec des données confidentielles — comptes, clés d'accès et VPN. Le cheval de Troie aurait pu capturer des sessions, des cookies et des mots de passe, ouvrant des voies vers les réseaux internes des entreprises.

Selon les experts, plus de 150 personnes ont été touchées, principalement des particuliers. Cependant, des organisations des secteurs du commerce de détail, de la fabrication, du conseil, des télécommunications et de l'agriculture ont également été victimes. Cela met en évidence les risques pour les entreprises où les outils de diagnostic sont omniprésents.

  • Risques Clés pour les Victimes :

- Accès à distance à l'appareil.

Google AdInline article slot

- Vol d'identifiants et de jetons de session.

- Accès aux ressources d'entreprise via VPN.

- Propagation potentielle au sein des réseaux locaux.

Google AdInline article slot

Lien avec les Incidents Précédents

Cette attaque fait écho aux tactiques de la campagne de mars impliquant de faux FileZilla : substitution de DLL, infrastructure similaire et domaines de commande et de contrôle. Les experts retracent des éléments de la chaîne jusqu'à juillet 2025, indiquant un groupe organisé avec des méthodes affinées. Cette approche minimise la détection en se faisant passer pour des mises à jour officielles.

Contexte et Importance Industrielle

La compromission des canaux de distribution de logiciels est une menace croissante en cybersécurité. Les facteurs de succès incluent la confiance dans la marque et les contrôles d'intégrité de téléchargement faibles. Les conséquences impliquent la nécessité de vérifier les hachages de fichiers et de passer à des mises à jour signées. Pour l'industrie, cela signale un besoin de renforcer la vérification des fournisseurs.

Contexte général : ces attaques de la chaîne d'approvisionnement ont augmenté de 30% au cours de l'année, selon les rapports de l'industrie. Les utilisateurs sont invités à scanner leurs systèmes et à mettre à jour leur logiciel antivirus.

Points Clés à Retenir

  • Les pirates ont remplacé les liens sur cpuid.com, propageant le STX RAT via DLL.
  • Versions affectées CPU-Z 2.19, HWMonitor 1.63/Pro 1.57 ; plus de 150 victimes.
  • Lien avec les attaques depuis juillet 2025, y compris l'incident FileZilla de mars.
  • Site nettoyé avant le 10 avril, mais les risques pour les utilisateurs d'entreprise persistent.
  • Recommandation : Vérifier les hachages et utiliser un bac à sable pour les tests.

— Editorial Team

Advertisement 728x90

Lire ensuite