CPUID 遭入侵，CPU-Z 和 HWMonitor 下载链接被篡改传播恶意软件

HackerNews 编译，转载请注明出处：

黑客入侵CPUID项目的API，篡改官方网站下载链接，为热门工具CPU-Z和HWMonitor提供恶意可执行文件。

这两款实用工具拥有数百万用户，用于追踪内部计算机硬件的物理健康状况及获取系统全面规格。

近期Reddit用户报告称，下载任一工具时，官方下载门户指向Cloudflare R2存储服务，获取另一开发商的HWiNFO诊断监控工具的木马化版本。

恶意文件名为HWiNFO_Monitor_Setup，运行后启动带有Inno Setup封装的俄语安装程序，极不寻常且高度可疑。

用户报告称，仍可从直接URL下载干净的hwmonitor_1.63.exe，表明原始二进制文件完好，但分发链接似乎已被投毒。

Igor’s Labs和@vxunderground也确认了外部化下载链，报告称涉及使用已知技术、战术和程序（TTP）的相当高级的加载器。

“我开始仔细研究时发现，这不是典型的普通恶意软件，”vxunderground表示。”该恶意软件深度木马化，从被入侵域名（cpuid-dot-com）分发，执行文件伪装，多阶段运行，（几乎）完全在内存中操作，并使用一些有趣方法规避EDR和/或杀毒软件，如从.NET程序集代理NTDLL功能。”

该研究员称，同一威胁组织上月针对FileZilla FTP解决方案用户，表明攻击者正瞄准广泛使用的实用工具。

下载的ZIP文件在VirusTotal上被20个杀毒引擎标记，虽未明确识别，部分归类为Tedy木马，部分为Artemis木马。VirusTotal上部分研究员称，假冒HWiNFO变种为信息窃取恶意软件。

BleepingComputer联系CPUID了解事件详情、入侵日期、受影响版本及受影响用户应对措施。发言人提供以下声明：

“调查仍在进行中，但似乎是次要功能（基本上是侧API）在4月9日至10日间约6小时被入侵，导致主网站随机显示恶意链接（我们签名的原始文件未被入侵）。入侵已发现并修复。”——CPUID

同一人告诉我们，黑客在主开发者外出度假时发动攻击。

卡巴斯基研究员也分析了该事件，称入侵持续时间为4月9日15:00 UTC至4月10日约10:00 UTC，攻击者分发了以下CPUID软件的恶意版本：

修改后的变种包含合法签名可执行文件和名为’CRYPTBASE.dll’的恶意DLL，用于DLL侧加载。

“恶意DLL负责C2（命令控制）连接和进一步载荷执行。在此之前，它还执行一系列反沙箱检查，若所有检查通过，则连接至C2服务器，”卡巴斯基表示。

攻击者似乎使用了3月使用假冒FileZilla网站传播恶意下载活动中观察到的相同C2地址和配置。

最终载荷为STX RAT，eSentire研究员记录其具有信息窃取能力，被eSentire的YARA规则检测到。

据卡巴斯基可见性，超过150名用户下载了CPUID产品的恶意变种。虽然大多数为个人用户，但巴西、俄罗斯的多家组织也在受害者之列。

卡巴斯基提供了下载恶意文件、恶意DLL及攻击中使用URL的入侵指标。

目前，CPUID似乎已修复问题，现在为CPU-Z和HWMonitor提供干净版本。

消息来源：bleepingcomputer.com；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文