PCハードウェアコミュニティで人気のあるCPUIDウェブサイトが最近ハッキングされ、CPU-Z、HWMonitor、およびPerfMonitorの悪意あるバージョンを配信するように改ざんされました。
CPU-Z、HWMonitor、およびPerfMonitorは、PCハードウェアに関する本質的な情報を提供します:CPU-Zはプロセッサ、マザーボード、メモリ、グラフィックスの詳細なシステム情報を提供し、HWMonitorは電圧、温度、ファン速度などのリアルタイムセンサーデータを監視し、PerfMonitorはプロセッサパフォーマンスを追跡します。個人と企業の両方で使用されるこれらのアプリケーションは、数百万ダウンロードされています。
CPUIDのメンテナによると、セカンダリ機能(サイドAPI)が侵害され、ウェブサイトがCPU-Z、HWMonitor、およびPerfMonitorのトロイの木馬化されたバージョンをホストしているサードパーティドメインへのリンクをランダムに表示していました。元のファイルは影響を受けていません。
Kasperskyもこのサプライチェーン攻撃とウォーターホール攻撃を分析し、侵害期間中にCPUIDウェブサイトがCPU-Z、HWMonitor、HWMonitor Pro、およびPerfMonitorの悪意あるインストーラーを提供していたことを指摘しています。
このセキュリティ企業は150人以上の被害者を特定しており、主に個人ですが、製造、小売、通信、コンサルティング、農業などのセクターの組織も含まれています。Kasperskyはブラジル、中国、ロシアでのほとんどの感染を確認していますが、同社は北米とヨーロッパでの可視性が限定的であることは注目に値します。
攻撃者は、正規ソフトウェアとDLLサイドローディングを通じて読み込まれた悪意あるファイル(cryptbase.dll)の両方を配信するZIPアーカイブとスタンドアロンインストーラーの両方を提供していました。
最終的な目標は、最近発見されたWindowsマルウェアSTX RATを配布することで、攻撃者は侵害されたマシンを制御し、ブラウザ認証情報、暗号資産ウォレット、FTPクライアントパスワードなどの情報を盗むことができます。
CPUIDのメンテナはインシデントは4月10日に発生し、ウェブサイトは00:00~06:00 GMT間の約6時間侵害されていたと述べています。
ただし、Kasperskyは4月9日の15:00から4月10日の10:00 GMT間の、より長い侵害期間を確認しています。
Breakglass Intelligenceの研究者はこのインシデントをFileZillaソフトウェアのトロイの木馬化されたバージョンを含む最近の攻撃にリンクさせており、CPUID攻撃が10か月間のキャンペーンの一部であったことを報告しています。
ロシア語を話す脅迫行為者がこの操作の背後にあると信じているBreakglassは、CPUID攻撃が実際には4月3日に開始したことを示唆する証拠を発見しました。
翻訳元: https://www.securityweek.com/cpuid-hacked-to-serve-trojanized-cpu-z-and-hwmonitor-downloads/
