CPUIDウェブサイトの訪問者は、攻撃者がそのバックエンドの一部を乗っ取り、信頼されたダウンロードリンクを悪意あるものの配信メカニズムに変えてしまった後、今週マルウェアに短時間さらされました。
この問題はHWMonitorやCPU-Zのようなツールに影響を及ぼし、インストーラーがアンチウイルスのアラートを引き起こしたり、奇妙な名前で表示されたりしたときに、Redditおよびその他の場所のユーザーが何かが間違っていることに気づき始めました。流布した例の1つは、HWMonitor 1.63の更新が「HWiNFO_Monitor_Setup.exe」というファイルを指しており、これは誰もそこでダウンロードしに行ったものではなく、何かが上流で改ざんされたという明らかな兆候です。
CPUIDはその後、侵害を確認し、ソフトウェアビルドの改ざんではなく、侵害されたバックエンドコンポーネントに原因を特定しました。
「調査はまだ進行中ですが、4月9日から4月10日の間の約6時間、セカンダリ機能(基本的にはサイドAPI)が侵害されたようで、メインウェブサイトが悪意のあるリンクをランダムに表示させていました(当社の署名された元のファイルは侵害されていません)」とサイトの所有者の1人がXへの投稿で述べました。「侵害は発見され、その後修正されました。」
ファイル自体は手を付けられずに残され、適切に署名されているようなので、誰もビルドプロセスに入り込んだようには見えません。代わりに、問題はその前段階にありました。ダウンロードがどのように提供されていたかという点です。ただし、その期間中にサイトにアクセスした人にとって、その区別はほとんど慰めにはなりません。クリックしたリンクが置き換えられていた場合、それが指していたものがなんであれ、気づいていたかどうかに関わらず、あなたはそこに指されていたものをダウンロードしていたのです。
vx-undergroundが共有した分析によると、悪意のあるインストーラーは64ビットのHWMonitorユーザーをターゲットにしており、正当なWindowsコンポーネントに溶け込むように設計されたニセのCRYPTBASE.dllが含まれていたようです。そのDLLはコマンドアンドコントロールサーバーに接続して、追加のペイロードをダウンロードしました。
そこから、事態はエスカレートします。分析によると、マルウェアはできるだけディスクに痕跡を残さないようにしようとし、PowerShellに依存して、主にメモリで実行されています。また、被害者のマシン上で追加のコードをダウンロードして.NETペイロードをコンパイルしてから、他のプロセスに注入します。また、ブラウザデータを狙っていることを示す兆候もあります。テストでは、Google ChromeのIElevation COMインターフェースと相互作用しているのが見られ、これは保存された認証情報にアクセスして復号化するために使用できます。
同じ分析は、FileZillaユーザーをターゲットにしたものを含む、以前のキャンペーンで使用されたインフラストラクチャへのリンクを示唆しており、これが単発の実験ではなく、より広いプレイブックの一部であることを示唆しています。
CPUIDはこの問題は現在修正されていると述べていますが、そのAPIがどのようにアクセスされたのか、または実際に何人の人が悪質なファイルをダウンロードしたのかについての詳細はまだありません。それでも、攻撃者が害をもたらすためにコード自体に触れる必要がないことを思い出させるものです。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/10/cpuid_site_hijacked/
