CPU-ZまたはHWMonitorの通常の取得が、いきなりトロイの木馬配布の手段に変わってしまった。Cyderes、Breakglass、およびKasperskyの研究者らは、攻撃者がCPUID Webサイトの公式リンクを侵害し、訪問者を感染したアーカイブとインストーラーに転送したと報告しています。Kasperskyによると、この置換は4月9日の15:00 UTCから4月10日の10:00 UTCの間に発生し、CPU-Z 2.19、HWMonitor 1.63、HWMonitor Pro 1.57、およびPerfMonitor 2.04を侵害しました。しかし、Breakglassはより広い活動期間を想定しており、4月3日から4月10日にかけてのウィンドウを提示しています。
この攻撃の構造は、正規ダウンロードへの模倣により特に悪質でした。悪意のあるパッケージ内には、要求されたユーティリティの署名付き実行可能ファイルとともに、欺瞞的なCRYPTBASE.dllライブラリが含まれていました。実行時に、Windowsは不用意に不正なライブラリをロードし、複数段階のファイルレスローディング シーケンスをトリガーし、最終的にデータ流出のために設計されたリモートアクセストロイの木馬であるSTX RATの展開に至りました。Cyderesは、HWMonitorの場合、64ビットビルドが脆弱であることが判明したことを特に指摘しました。
このインシデントはCPUIDユーザーの特定のユーザー層を考慮すると、特に深刻です。CPU-ZおよびHWMonitorは長年にわたり、システム管理者、エンジニア、PCの愛好家の間でハードウェア診断のゴールドスタンダードとして機能してきました。攻撃者にとって、このようなターゲット層は非常に貴重です。プロフェッショナルなワークステーションと企業ラップトップは、機密の認証情報、セッションクッキー、暗号化キー、VPNまたは内部インフラストラクチャへのアクセスを頻繁に保持しているためです。Kasperskyはすでに150人以上の被害者を特定しました。大多数は個々のユーザーですが、被害には小売、製造、コンサルティング、通信、および農業部門内の組織が含まれます。
さらに不安なのは、以前の侵入との関連性です。BreakglassおよびKasperskyは、犯人が不正なFileZillaインストーラーを含む3月のキャンペーンからインフラストラクチャと感染チェーン要素を転用したと結論づけました。レポートは、同一のDLLサイドローディング手法、同じコマンド&コントロールアドレス、およびドメインwelcome.supp0v3[.]comを強調しています。Breakglassはさらに、このアクティビティを少なくとも2025年7月にさかのぼるサンプルにリンクしており、これは孤立した一時的な事件ではなく、洗練されたツールキットを利用した継続的な操作であることを示唆しています。
唯一の救いは、4月10日の時点で、cpuid.com上のダウンロードが感染から削除されたということです。しかし、より広い影響は依然として深刻です:この攻撃は、公式リポジトリからの最も通常的なソフトウェア取得にさえ固有の危険性を実証しています。配布チャネル自体が転覆すると、ユーザーは気付かないうちにスパイ行為と認証情報窃盗の足がかりを与えながら、見慣れたユーティリティのみを認識します。
翻訳元: https://meterpreter.org/cpuid-malware-attack-cpu-z-hwmonitor-trojan/
