Шестичасовой взлом превратил доверенные ссылки на сайте CPUID в лотерею между легитимными утилитами и похитителями учетных данных. — theregister.com
Посетители сайта CPUID на этой неделе ненадолго подверглись воздействию вредоносного ПО после того, как злоумышленники взломали часть его серверной части, превратив доверенные ссылки для загрузки в канал доставки чего-то гораздо менее желанного.
Проблема затронула такие инструменты, как HWMonitor и CPU-Z. Пользователи на Reddit и других площадках начали замечать, что что-то не так, когда установщики вызывали срабатывание антивирусных оповещений или отображались под странными именами. Один из примеров, который активно обсуждался, показывал, что обновление HWMonitor 1.63 вело на файл с именем “HWiNFO_Monitor_Setup.exe”, что совсем не то, что пользователи собирались загружать, и это явный признак того, что что-то на вышестоящем уровне было скомпрометировано.
CPUID с тех пор подтвердила взлом, возложив вину на скомпрометированный компонент серверной части, а не на вмешательство в сборки их программного обеспечения.
“Расследование все еще продолжается, но, похоже, что второстепенная функция (по сути, побочный API) была скомпрометирована примерно в течение шести часов между 9 и 10 апреля, что привело к случайному отображению вредоносных ссылок на основном веб-сайте (наши подписанные оригинальные файлы не были скомпрометированы)”, — сообщил один из владельцев сайта в посте на X. “Взлом был обнаружен и с тех пор устранен”.
Сами файлы, по-видимому, остались нетронутыми и по-прежнему правильно подписаны, так что, похоже, никто не вмешивался в процесс сборки. Вместо этого проблема возникла на более раннем этапе — в том, как осуществлялась загрузка. Однако для тех, кто заходил на сайт в этот промежуток времени, это различие не приносит особого утешения. Если ссылка, по которой вы кликнули, была подменена, вы загружали то, на что она указывала, осознавали вы это или нет.
Анализ, опубликованный vx-underground, показывает, что вредоносный установщик, по-видимому, нацеливался на 64-битных пользователей HWMonitor и содержал поддельную библиотеку CRYPTBASE.dll, предназначенную для маскировки под легитимные компоненты Windows. Эта DLL затем связывалась с командно-контрольным сервером для загрузки дополнительных полезных нагрузок.
Далее ситуация обостряется. Анализ предполагает, что вредоносное ПО старается как можно меньше оставаться на диске, используя PowerShell и работая преимущественно в памяти. Оно также загружает дополнительный код и компилирует .NET-полезную нагрузку на машине жертвы перед тем, как внедрить ее в другие процессы. Есть также признаки того, что оно нацелено на данные браузера. В ходе тестирования было замечено взаимодействие с COM-интерфейсом IElevation Google Chrome, который может использоваться для доступа и дешифрования сохраненных учетных данных.
Тот же анализ указывает на связи с инфраструктурой, использовавшейся в предыдущих кампаниях, в том числе нацеленных на пользователей FileZilla, что намекает на то, что это был не разовый эксперимент, а часть более широкого плана действий.
CPUID заявляет, что проблема устранена, но подробностей о том, как был получен доступ к этому API и сколько людей на самом деле загрузили вредоносные файлы, по-прежнему нет. Тем не менее, это еще одно напоминание о том, что злоумышленникам не нужно трогать сам код, чтобы нанести вред. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page