- CPUID.comが一時的に侵害され、マルウェアを提供するために使用された
- 汚染されたダウンロードはCRYPTBASE.dllでDLLサイドローディングを使用
- 洗練されたトロイの木馬が展開され、20個のAVエンジンでフラグが付けられた
PC診断ツールの人気ウェブサイトであるCPUID.comは、侵害され、マルウェアを提供するために使用されたことを確認しました。
「調査はまだ進行中ですが、4月9日から4月10日の間に、セカンダリ機能(基本的にはサイドAPI)が約6時間の間に侵害され、メインウェブサイトが無作為に悪意のあるリンクを表示するようになったようです(署名された元のファイルは侵害されていません)」とプロジェクトのメンテナーはBleepingComputerに述べました。侵害は発見され、その後修正されました。」
つまり、CPUIDでホストされているソフトウェアは汚染されていませんでした。単に異なるダウンロードリンクを提供していただけです。それでも、被害者は正規のソフトウェアをダウンロードしていると思うかもしれません。
記事は下に続く
典型的でないマルウェア
カスペルスキーの研究者は、このソフトウェアのダウンロードリンクが汚染されていることを発見しました:
CPU-Z(バージョン2.19)
HWMonitor Pro(バージョン1.57)
HWMonitor(バージョン1.63)
PerfMonitor(バージョン2.04)
変更されたバリアントには、正規の署名付き実行ファイルと、DLLサイドローディングに使用される「CRYPTBASE.dll」という名前の悪意のあるDLLが含まれていました。
「悪意のあるDLLはC2 [コマンドアンドコントロール]接続と詳細なペイロード実行を担当しています。これより前に、サンドボックス対策チェックのセットも実行し、すべてのチェックが成功した場合、C2サーバーに接続します」とカスペルスキーは述べています。
同時に、Igor’s Labsとvxundergroundのリサーチャーがマルウェアはむしろ洗練されていると述べています。
「これをスティックで突いて調べ始めたとき、これは一般的なマルウェアではないことを発見しました」とvxundergroundは述べています。
「このマルウェアは深くトロイの木馬化されており、侵害されたドメイン(cpuid-dot-com)から配布され、ファイルの偽装を実行し、マルチステージであり、(ほぼ)完全にインメモリで動作し、.NETアセンブリからNTDLL機能をプロキシするなど、EDRおよび/またはAVを回避するための興味深い方法を使用しています。」
ウェブサイトはその後クリーンアップされました。VirusTotalは、現在20個のアンチウイルスエンジンがマルウェアをフラグ付けしていることを示しています。「Tedy Trojan」と呼ぶ人もいれば、「Artemis Trojan」と呼ぶ人もいます。これはinfostealerのようです。
もちろん、TikTokでTechRadarをフォローしてください。ニュース、レビュー、ビデオ形式の開封動画を取得し、WhatsAppでも定期的にアップデートを受け取ってください。
