Угрозы CPUID взломали. Под видом CPU-Z и HWMonitor распространялась малварь

[weaver]

Сайт проекта CPUID, распространяющего такие популярные утилиты, как CPU-Z, HWMonitor, HWMonitor Pro и PerfMonitor, был скомпрометирован. Около суток все ссылки на загрузку вели на вредоносные сборки, которые в итоге разворачивали на машинах жертв RAT под названием STX.

Первыми на проблему обратили внимание пользователи Для просмотра ссылки Войди или Зарегистрируйся, которые заметили, что официальный портал отдает странный файл HWiNFO_Monitor_Setup — инсталлятор на базе Inno Setup с интерфейсом на русском языке. То есть вместо утилиты от CPUID загружалась подделка под совершенно другой продукт (HWiNFO) от стороннего разработчика. Прямые ссылки на чистые бинарники при этом продолжали работать, так как злоумышленники подменили только публичные ссылки для загрузки.


Вскоре представители CPUID Для просмотра ссылки Войди или Зарегистрируйся факт атаки и пояснили, что расследование еще продолжается, но, судя по всему, злоумышленники получили доступ к «вспомогательной функции, по сути, второстепенному API». Из-за чего ресурс случайным образом показывал посетителям вредоносные ссылки. При этом оригинальные подписанные бинарники не пострадали. В компании также отметили, что взлом пришелся на период, когда основной разработчик проекта находился в отпуске.

По информации аналитиков «Для просмотра ссылки Войди или Зарегистрируйся», инцидент длился с 15:00 UTC 9 апреля примерно до 10:00 UTC 10 апреля. В это время через сайт распространялись зараженные версии:

• CPU-Z 2.19;
• HWMonitor Pro 1.57;
• HWMonitor 1.63;
• PerfMonitor 2.04.

Малварь распространяли как в виде ZIP-архивов, так и в виде отдельных установщиков. Внутри содержался легитимный подписанный исполняемый файл, а также вредоносная библиотека CRYPTBASE.dll, подгружавшаяся через технику DLL sideloading.

DLL отвечала за связь с управляющим сервером атакующих и запуск дополнительных пейлоадов, предварительно проверяя, не запущена ли она в песочнице. Финальной полезной нагрузкой служил STX RAT, Для просмотра ссылки Войди или Зарегистрируйся на прошлой неделе аналитиками компании eSentire.

Помимо кражи данных, STX RAT поддерживает создание скрытого удаленного рабочего стола (HVNC), выполнение EXE-, DLL-, PowerShell- и шелл-кода в памяти, проксирование и туннелирование трафика через зараженную машину, а также позволяет своим операторам управлять рабочим столом жертвы.

Исследователи отмечают, что адрес управляющего сервера и конфигурация подключения полностью совпадают с индикаторами Для просмотра ссылки Войди или Зарегистрируйся, в рамках которой через фейковые сайты раздавались поддельные инсталляторы FileZilla.

По оценкам экспертов, малварь успели загрузить более 150 пользователей. В основном это были частные лица, но среди жертв оказались и организации из сфер розничной торговли, производственного сектора, консалтинга, телекома и сельского хозяйства. Большая часть заражений пришлась на Бразилию, Россию и Китай.

«Самой серьезной ошибкой атакующих стало то, что они повторно использовали ту же цепочку заражения с STX RAT и те же домены для связи с управляющим сервером, что и в предыдущей атаке с фейковыми установщиками FileZilla, — пишут специалисты. — Общий уровень разработки малвари и операционной безопасности у этой группировки довольно низкий, что и позволило обнаружить компрометацию сайта практически сразу после ее начала».

В настоящее время разработчики CPUID уже устранили проблему, и сайт снова распространяет безопасные версии утилит.

Источник: xakep.ru