Los hackers accedieron a la API secundaria del sitio web CPUID entre el 9 de abril a las 15:00 UTC y el 10 de abril a las 10:00 UTC. Durante este tiempo, el sitio ofreció enlaces de descarga maliciosos en lugar de los instaladores legítimos de varias herramientas populares de monitoreo de hardware. CPUID ha confirmado la violación y ha reportado que la API afectada ha sido corregida. Ahora están ofreciendo versiones limpias de todas las herramientas afectadas.
Los usuarios que descargaron CPU-Z, HWMonitor, HWMonitor Pro o PerfMonitor entre el 9 de abril a las 15:00 UTC y el 10 de abril a las 10:00 UTC podrían haber recibido versiones modificadas. Sin embargo, los archivos binarios originales firmados de CPUID no fueron alterados.
¿Qué malware se distribuyó a través de las descargas de CPUID?
Las descargas maliciosas fueron redirigidas a través del almacenamiento Cloudflare R2 y ofrecieron un instalador falso de HWiNFO llamado HWiNFO_Monitor_Setup, empaquetado con el instalador Inno Setup en ruso. Según el análisis de Kaspersky, las versiones troyanas contenían un archivo ejecutable firmado legalmente junto con un DLL malicioso llamado CRYPTBASE.dll, que se utilizaba para la carga lateral de DLL.
El DLL malicioso realizó controles anti-sandbox antes de conectarse a un servidor de comando y control y ejecutó la carga útil final, que fue identificada como STX RAT. Este troyano de acceso remoto tiene capacidades de robo de información y ha sido documentado por investigadores de eSentire. El malware funcionó casi completamente en la memoria y utilizó técnicas para evitar la detección por parte de software antivirus y de puntos finales.
Las cuatro versiones de software afectadas fueron:
- CPU-Z versión 2.19
- HWMonitor Pro versión 1.57
- HWMonitor versión 1.63
- PerfMonitor versión 2.04.
Alcance del impacto del malware de CPUID
Kaspersky estima que más de 150 usuarios descargaron una variante maliciosa durante el periodo mencionado. Entre las víctimas se encuentran individuos y organizaciones en los sectores de retail, manufactura, consultoría, telecomunicaciones y agricultura, principalmente en Brasil, Rusia y China.
El archivo ZIP relacionado fue detectado por 20 motores antivirus en VirusTotal; algunos lo identificaron como Tedy Trojan, mientras que otros lo clasificaron como Artemis Trojan.
Investigadores de vxunderground e Igor's Labs confirmaron de manera independiente la cadena de descargas comprometidas. vxunderground señaló que el malware utilizó la misma dirección de comando y control observada en la campaña de marzo que involucró un sitio falso de FileZilla utilizado para distribuir descargas maliciosas. Esto sugiere que el mismo actor de amenaza podría ser responsable de ambos incidentes.
¿Qué deben hacer ahora los usuarios de CPUID afectados?
Los usuarios que descargaron cualquiera de las cuatro herramientas afectadas entre el 9 de abril a las 15:00 UTC y el 10 de abril a las 10:00 UTC deben considerar que sus instalaciones podrían haber estado comprometidas. Kaspersky ha publicado indicadores de compromiso que incluyen archivos maliciosos, DLLs y URLs asociadas con el ataque.
CPUID señala que sus archivos binarios originales firmados no fueron alterados y que las URLs de descarga directas de los archivos válidos no cambiaron durante el incidente. Actualmente, se ha verificado que las descargas desde el sitio web de CPUID son seguras.
![Un coleccionista de Apple exhibe los sonidos de inicio de Mac de 50 años [Video]](/resimler/apple-koleksiyoncusu-50-yillik-mac-acilis-seslerini-sergiliyor-video.jpg)
Comentarios
(3 Comentarios)