ハッカーがCPUIDプロジェクトのAPIにアクセスし、公式ウェブサイトのダウンロードリンクを変更して、人気のあるCPU-ZおよびHWMonitorツール用の悪意のある実行ファイルを提供しました。
これら2つのユーティリティは、コンピューターハードウェアの物理的な状態を追跡し、システムの詳細な仕様を確認するために使用する数百万のユーザーを持っています。
いずれかのツールをダウンロードしたユーザーが最近Redditで報告したところによると、公式ダウンロードポータルがCloudflare R2ストレージサービスを指しており、別の開発者による診断・監視ツールであるHWiNFOの改ざんされたバージョンを取得しています。
悪意のあるファイルの名前はHWiNFO_Monitor_Setupで、それを実行するとロシア語のインストーラーがInno Setupラッパーで起動され、これは非常に異常で疑わしいものです。
ユーザーは直接URLからクリーンなhwmonitor_1.63.exeをダウンロードすることがまだ可能であると報告しており、元のバイナリは無傷であることを示していますが、配布リンクが改ざんされたようです。
外部化されたダウンロードチェーンは、Igor’s Labsおよび@vxundergroundによっても確認されており、既知の手法、戦術、手順(TTP)を使用したかなり高度なローダーが関与していることが報告されています。
「つついてみ始めたところ、これは典型的なありふれたマルウェアではないことが判明しました」とvxundergroundは述べています。
「このマルウェアは深く改ざんされており、侵害されたドメイン(cpuid-dot-com)から配布され、ファイルのなりすまし、複数ステージ、(ほぼ)完全にメモリ内で動作し、.NETアセンブリからのNTDLL機能のプロキシなど、EDR/AVを回避するための興味深い方法を使用しています。」
研究者は、同じ脅威グループが先月FileZilla FTPソリューションのユーザーをターゲットにしたと主張しており、攻撃者が広く使用されているユーティリティに焦点を当てていることを示唆しています。
ダウンロードされたZIPはVirusTotal上の20のアンチウイルスエンジンによってフラグされていますが、明確には特定されていません。一部はTedy Trojanとして、他はArtemis Trojanとして分類しています。
VirusTotal上の一部の研究者は、偽のHWiNFOバリアントは情報盗聴マルウェアであると述べています。
BleepingComputerはCPUIDに何が起こったか、侵害の日付、影響を受けたバージョン、および影響を受けたユーザーが何をすべきかについてさらに詳しく知るために連絡しました。広報担当者は
「調査はまだ進行中ですが、4月9日から4月10日までの約6時間の間に、セカンダリー機能(基本的には補助API)が侵害され、メインウェブサイトが悪意のあるリンクをランダムに表示していたようです(署名された元のファイルは侵害されていません)。侵害が発見され、その後修正されました」- CPUID
同じ人は、ハッカーがメイン開発者が休暇中に不在だった時期に彼らを攻撃したと私たちに述べました。
現在、CPUIDは問題を修正し、CPU-ZおよびHWMonitorの両方のクリーンバージョンを提供しているようです。
