先週後半にCPUIDのウェブサイトからソフトウェアをダウンロードしようとした場合、代わりにマルウェアをダウンロードした可能性があります。
「調査はまだ進行中ですが、セカンダリー機能(基本的にはサイドAPI)が4月9日から4月10日の間に約6時間にわたって侵害されたようで、メインウェブサイトがランダムに悪意のあるリンクを表示していました(当社の署名付きオリジナルファイルは侵害されていません)」とCPUIDの貢献者であるSamuel Demeulemeesterが金曜日に述べ、影響を受けたユーザーに謝罪しました。
「侵害は発見され、その後修正されました」と彼は付け加えました。
毒害された「給水地点」
CPUID(cpuid[.]com)は、主にWindowsおよびAndroid向けの無料ソフトウェアユーティリティをホストするウェブサイトです。
最も人気のあるユーティリティの中には、PCのメインヘルスセンサーを読み込むハードウェア監視プログラムであるHWMonitorと、PC のプロセッサー、コード名、プロセス、パッケージ、キャッシュレベルに関する詳細情報を収集するユーティリティであるCPU-Zがあります。
何かが間違っていることを示すアラートが4月10日金曜日にRedditに表示され始め、あるユーザーはダウンロードされたHWiNFO_Monitor_Setup.exeがアンチウイルスによって悪意のあるものとしてフラグが付けられたことに注目しました。
Kaspersky研究者によると、CPUIDウェブサイトは4月9日の15:00 UTCから4月10日の10:00 UTCにかけて悪意のあるダウンロードにリダイレクトされました。
「トロイの木馬化されたソフトウェアは、ZIPアーカイブおよび前述の製品のスタンドアロンインストーラーの両方として配布されていました。これらのファイルには、対応する製品の正規の署名付き実行可能ファイルと、DLLサイドローディング技術を利用するためにCRYPTBASE.dllという名前の悪意のあるDLLが含まれています」と彼らは説明しました。
「悪意のあるDLLはC2接続とさらなるペイロード実行の責任があります。これより前に、アンチサンドボックスチェックのセットも実行し、すべてのチェックに合格した場合、C2サーバーに接続します。」
マルウェア研究者Giuseppe MassaroもCPU-Z、HWMonitor Pro、PerfMonitor、およびPowerMAXのダウンロードをトロイの木馬化された/悪意のあるものとしてフラグを付けました。
「CPUIDのオリジナルの署名付きバイナリは侵害されていません—攻撃者はリダイレクト経由で独自にトロイの木馬化されたパッケージを提供しました」とMassaroは発見しました。「侵害されたAPIはダウンロードリンクをランダムに悪意のあるURL(Cloudflare R2バケット)にリダイレクトさせました。」
マルウェアがダウンロードされたコマンドアンドコントロールドメイン(supp0v3[.]com)は、以前模倣ドメインとトロイの木馬化されたダウンロードでFileZillaユーザーを対象にしたマルウェアキャンペーンで使用されていました。
サブドメイン(ai.supp0v3.com)はバックエンドサーバーを公開し、Massaroは彼の分析中にも発見しました。
「サーバーは盗まれた、または自己署名されたVK.com(VKontakte)ワイルドカード証明書を使用しており、ロシアのロケールデータ(サンクトペテルブルク)が含まれています。これは、不正な可能性のあるホスティングの選択(頻繁に悪意のあるホスティングに使用されるプロバイダーであるGlobal Connectivity Solutions)と組み合わせると、ロシアに関連する脅威アクターを強く示唆しています」と彼は指摘しました。
「同じIPは、以前の.urlショートカット悪用(CVE-2023-36025 SmartScreenバイパス)をLibreOfficeおよびGoogle Driveのダウンロードをターゲットにして使用され、WebDAV(file://147.45.178.61@80/file/…)経由でVBSペイロードを共有していました。これは、現在のDLLサイドローディングキャンペーンを同じアクターによる以前のWindowsショートカット悪用キャンペーンに結びつけています。」
どうしましょうか?
この給水地点キャンペーンの悪意のあるペイロードはSTX RATで、認証情報とデータ盗難の機能を持つ永続的なリモートアクセストロイの木馬です。eSentireによると、ブラウザーの認証情報/クッキー、暗号通貨ウォレット、およびFTPクライアント認証情報を狙っています。
Kaspersky研究者は、攻撃者の誤り—以前にフラグが付けられた感染チェーンと以前の攻撃で使用されたドメイン名の再利用—がこの最新の給水地点攻撃の迅速な検出をもたらしたことを指摘しました。
それにもかかわらず、彼らのテレメトリに基づいて、150人以上の被害者を特定しており、ほとんどは個人です。
「しかし、小売、製造、コンサルティング、通信、農業を含むさまざまなセクターからのいくつかの組織も影響を受けており、ほとんどの感染はブラジル、ロシア、中国に発生しています」と彼らは付け加えました。
彼らは、組織にこの攻撃に関連する悪意のあるアーカイブおよび実行可能ファイルの痕跡をシステムで確認し、トロイの木馬化されたインストーラーがダウンロードされた悪意のあるウェブサイトのDNSログを調べることをお勧めしました。
侵害の証拠が発見された場合、組織(および個人)は影響を受けたシステムをクリーンアップし、マルウェアが侵害した可能性のあるすべての認証情報を変更する必要があります。
翻訳元: https://www.helpnetsecurity.com/2026/04/13/cpuid-download-malware/
