Compromitere de amploare: utilizatorii HWMonitor și CPU-Z, victime ale malware-ului deghizat
Utilizatorii din întreaga lume care au încercat să descarce software-ul HWMonitor și CPU-Z de pe site-ul oficial al CPUID au fost expuși la riscuri majore de securitate. Incidentul, care pare să fie rezultatul unei compromiteri active a infrastructurii de distribuție a furnizorului, a dus la răspândirea de malware prin intermediul instalatoarelor infectate. Zeci de milioane de utilizatori la nivel global sunt afectați.
Cum a fost pusă în pericol securitatea utilizatorilor
Problema a fost semnalată pentru prima dată de utilizatori pe platforma Reddit. Aceștia au raportat că, în încercarea de a actualiza HWMonitor, au fost redirecționați către o pagină de descărcare suspectă. Aceasta găzduia un fișier numit HWiNFO_Monitor_Setup.exe. Anomalia a fost considerată imediat suspectă, deoarece HWiNFO este un software de monitorizare dezvoltat de un alt furnizor. La rulare, programul de instalare afișa o interfață în limba rusă, determinând utilizatorii să anuleze instalarea.
Investigațiile suplimentare au relevat faptul că linkul de descărcare de pe site-ul oficial HWMonitor redirecționa către un domeniu extern, găzduit pe Cloudflare R2. Acest domeniu conținea un program de instalare infectat cu malware. Acesta funcționa într-un pachet Inno Setup modificat, o tehnică utilizată pentru a ascunde încărcături malicioase și a împiedica analiza de securitate.
Malware sofisticat și potențialul de furt de date
Analizele efectuate de experți în securitate și de utilizatori tehnici, inclusiv prin utilizarea platformelor VirusTotal și a mediilor sandbox, au confirmat comportamentul rău intenționat al fișierelor descărcate. Versiunile curate ale HWMonitor nu prezentau aceiași indicatori, sugerând că compromiterea a fost limitată la anumite căi de descărcare sau fișiere furnizate dinamic.
De asemenea, s-au raportat detectări antivirus la descărcarea programelor de instalare CPU-Z, precum și instabilitate a sistemului și alte simptome compatibile cu executarea de malware. Potențialul impact este semnificativ, unii utilizatori raportând chiar coruperea sistemului de operare Windows în urma instalării CPU-Z de pe site-ul compromis.
Analiza realizată de VX-Underground a confirmat că cpuid.com distribuia în mod activ malware. Încărcătura malicioasă nu era o amenințare obișnuită, ci un implant sofisticat, conceput pentru a fi ascuns și persistent. Malware-ul funcționa în mare parte în memorie, utilizând tehnici avansate de evaziune pentru a ocoli sistemele de detectare. Se pare că scopul principal era furtul datelor de autentificare din browser, malware-ul încercând să acceseze interfața COM IElevation a Google Chrome pentru a extrage parolele salvate.
Dezvoltatorul software-ului, Samuel Demeulemeester, a declarat că investigația privind intruziunea este în curs, dar că o interfață API secundară a fost compromisă pentru aproximativ șase ore. Fișierele originale semnate de CPUID nu au fost afectate, iar problema a fost remediată.
În prezent, nu se cunosc detalii despre numărul exact de utilizatori afectați sau despre modul în care atacatorii au accesat sistemul.
