Hackeres acessaram a API secundária do site CPUID entre 9 de abril às 15:00 UTC e 10 de abril às 10:00 UTC. Durante esse período, o site ofereceu links de download maliciosos em vez de instaladores válidos de várias ferramentas populares de monitoramento de hardware. A CPUID confirmou a violação e informou que a API afetada foi corrigida. Agora, eles estão oferecendo versões limpas de todas as ferramentas afetadas.

Usuários que baixaram CPU-Z, HWMonitor, HWMonitor Pro ou PerfMonitor entre 9 de abril às 15:00 UTC e 10 de abril às 10:00 UTC podem ter recebido versões modificadas. No entanto, os arquivos binários originais assinados da CPUID não foram alterados.

Que Malware Foi Distribuído Através dos Downloads da CPUID?

Os downloads maliciosos foram redirecionados através do armazenamento Cloudflare R2 e apresentaram um instalador falso de HWiNFO chamado HWiNFO_Monitor_Setup, empacotado com o empacotador Inno Setup em russo. De acordo com a análise da Kaspersky, as versões trojans continham um executável legalmente assinado junto com um DLL malicioso chamado CRYPTBASE.dll, que era usado para carregamento lateral de DLL.

O DLL malicioso realizou verificações anti-sandbox antes de se conectar a um servidor de comando e controle e executou a carga final identificada como STX RAT. Esse trojan de acesso remoto possui capacidades de roubo de informações e foi documentado por pesquisadores da eSentire. O malware operou quase totalmente na memória e utilizou técnicas para evitar a detecção de endpoints e softwares antivírus.

As quatro versões de software afetadas foram:

  • CPU-Z versão 2.19
  • HWMonitor Pro versão 1.57
  • HWMonitor versão 1.63
  • PerfMonitor versão 2.04.

Escopo do Impacto do Malware da CPUID

A Kaspersky estima que mais de 150 usuários baixaram uma variante maliciosa durante a janela de tempo. Entre as vítimas estão indivíduos e organizações dos setores de varejo, manufatura, consultoria, telecomunicações e agricultura, principalmente no Brasil, Rússia e China.

O arquivo ZIP relevante foi detectado por 20 motores antivírus no VirusTotal; alguns o identificaram como Tedy Trojan, enquanto outros o chamaram de Artemis Trojan.

Pesquisadores do vxunderground e Igor's Labs confirmaram independentemente a cadeia de download comprometida. O vxunderground observou que o malware usou o mesmo endereço de comando e controle observado na campanha de março que envolveu um site falso do FileZilla usado para distribuir downloads maliciosos. Isso sugere que o mesmo ator de ameaça pode ser responsável por ambos os incidentes.

O Que os Usuários da CPUID Afetados Devem Fazer Agora?

Usuários que baixaram qualquer uma das quatro ferramentas afetadas entre 9 de abril às 15:00 UTC e 10 de abril às 10:00 UTC devem considerar que suas instalações podem estar potencialmente comprometidas. A Kaspersky publicou indicadores de comprometimento que incluem arquivos maliciosos associados ao ataque, DLLs e URLs.

A CPUID afirma que os arquivos binários originais assinados não foram alterados e que as URLs de download diretas dos arquivos válidos não mudaram durante o incidente. Atualmente, os downloads feitos a partir do site da CPUID foram verificados como seguros.