Kompromitacja strony CPUID: złośliwe wersje popularnych narzędzi do diagnostyki PC
Oficjalna strona producenta narzędzi diagnostycznych CPUID została zaatakowana, co doprowadziło do tego, że linki do pobrania CPU-Z i HWMonitor prowadziły do zainfekowanych plików. Spowodowało to rozprzestrzenienie trojana dostępu zdalnego wśród użytkowników, w tym specjalistów IT.
Mechanizm ataku i szczegóły techniczne
Przestępcy podmienili linki na oficjalnej stronie, przekierowując odwiedzających do archiwów z złośliwym oprogramowaniem. W zainfekowanych pakietach znajdował się legalny plik wykonywalny aplikacji oraz złośliwa biblioteka CRYPTBASE.dll. Po uruchomieniu system ładował tę bibliotekę, inicjując łańcuch zdarzeń kończący się instalacją trojana STX RAT. Trojan działa w pamięci, zapewniając zdalny kontrolę i kradzież danych.
Atak objął wersje CPU-Z 2.19, HWMonitor 1.63 i 1.57 Pro, PerfMonitor 2.04. Szczególnie podatna okazała się 64-bitowa wersja HWMonitor. Okres aktywności hackerów szacuje się od 3 do 10 kwietnia, z szczytem podmiany między 15:00 UTC 9 kwietnia a 10:00 UTC 10 kwietnia.
Cele i konsekwencje dla użytkowników
Narzędzia CPUID są szeroko stosowane do monitorowania sprzętu: od entuzjastów po administratorów korporacyjnych. Tacy użytkownicy często pracują z danymi poufnymi – kontami, kluczami dostępu i VPN. Trojan mógł zapewnić przechwycenie sesji, ciasteczek i haseł, otwierając drogę do wewnętrznych sieci firm.
Według ekspertów, poszkodowanych było ponad 150 osób, głównie osoby prywatne. Jednak wśród ofiar znalazły się organizacje z sektorów handlu detalicznego, produkcji, konsultingu, telekomunikacji i rolnictwa. To podkreśla ryzyko dla biznesu, gdzie narzędzia diagnostyczne są powszechne.
- Kluczowe ryzyka dla ofiar:
- Zdalny dostęp do urządzenia.
- Kradzież danych logowania i tokenów sesyjnych.
- Dostęp do zasobów korporacyjnych przez VPN.
- Potencjalne rozprzestrzenianie w sieciach lokalnych.
Powiązanie z poprzednimi incydentami
Atak powtarza taktykę marcowej kampanii z fałszywym FileZilla: użycie zastąpienia DLL, podobnej infrastruktury i domeny zarządzania. Eksperci śledzą elementy łańcucha do lipca 2025 roku, wskazując na zorganizowaną grupę o dopracowanych metodach. Takie podejście minimalizuje wykrycie, maskując się pod oficjalne aktualizacje.
Kontekst i znaczenie dla branży
Kompromitacja kanałów dystrybucji oprogramowania to rosnące zagrożenie w cyberbezpieczeństwie. Powody sukcesu: zaufanie do marek i słaba kontrola integralności pobierań. Konsekwencje obejmują konieczność sprawdzania sum kontrolnych plików i przejście na podpisane aktualizacje. Dla branży jest to sygnał do wzmocnienia weryfikacji dostawców narzędzi.
Ogólny kontekst: podobne ataki na łańcuch dostaw zwiększyły się o 30% w ciągu roku, według raportów branżowych. Użytkownikom zaleca się skanowanie systemów i aktualizację oprogramowania antywirusowego.
Co jest ważne
- Hakerzy podmienili linki na cpuid.com, rozpowszechniając trojana STX RAT poprzez DLL.
- Poszkodowane wersje CPU-Z 2.19, HWMonitor 1.63/Pro 1.57; ponad 150 ofiar.
- Powiązanie z atakami od lipca 2025 roku, w tym marcowym FileZilla.
- Strona oczyszczona do 10 kwietnia, ale ryzyko dla użytkowników korporacyjnych pozostaje.
- Rekomendacja: sprawdzaj sumy kontrolne i używaj sandboxa do testów.
— Editorial Team
Brak komentarzy.