Cluj 14°C
Timișoara 18°C
Constanța 11°C
HWMonitor și CPU-Z, victime ale atacurilor cibernetice: Malware la pândă
Un atac cibernetic major vizează utilizatorii din România, dar și din întreaga lume, ai unor programe populare pentru monitorizarea hardware-ului. Se pare că infractorii au reușit să compromită site-ul oficial al CPUID, compania care dezvoltă software-ul HWMonitor și CPU-Z. Utilizatorii care au descărcat aceste programe de pe site-ul oficial ar fi putut instala, fără să știe, versiuni infectate cu malware.
Compromiterea site-ului și instalarea de malware
Incidentul a fost raportat inițial de utilizatori pe platforma Reddit, unde au semnalat că, la încercarea de a actualiza HWMonitor, au fost redirecționați către un site suspect. Acesta oferea un fișier numit HWiNFO_Monitor_Setup.exe. Anomalia a fost imediată, deoarece HWiNFO este un software diferit de HWMonitor. Executarea acestui fișier instala o interfață în limba rusă, ceea ce a alertat utilizatorii. Investigații ulterioare au arătat că link-ul de descărcare de pe site-ul CPUID redirecționa către un server extern, găzduit pe Cloudflare R2, nu pe infrastructura companiei. Serverul respectiv conținea programul de instalare infectat cu malware.
Mai multe teste au confirmat comportamentul rău intenționat al fișierelor. Versiunile curate ale HWMonitor nu prezentau aceiași indicatori. Rapoarte suplimentare sugerează că și descărcările CPU-Z ar fi putut fi compromise. Unii utilizatori au observat detectări antivirus la descărcarea acestor programe, în timp ce alții au raportat instabilitate a sistemului. Un utilizator a reclamat că instalarea CPU-Z de pe site-ul oficial a dus la coruperea sistemului de operare Windows.
Obiectivul atacului: furtul datelor de autentificare
Conform analizei VX-Underground, malware-ul nu era o amenințare obișnuită, ci unul sofisticat, conceput să fie ascuns și persistent. Malware-ul opera în mare parte în memorie, și folosea tehnici avansate de evaziune pentru a evita detectarea. Obiectivul principal al malware-ului pare să fi fost furtul datelor de autentificare ale browser-ului. Acesta încerca să acceseze interfața COM IElevation a Google Chrome pentru a extrage parolele salvate. Infrastructura folosită în acest atac a fost legată de campanii anterioare care vizau utilizatorii FileZilla.
Reacțiile și consecințele atacului
Samuel Demeulemeester, dezvoltatorul software-ului, a anunțat că investigația privind intruziunea este în curs, dar că o interfață API secundară a fost compromisă timp de aproximativ șase ore. Fișierele originale semnate de CPUID nu au fost afectate, iar problema a fost remediată.
Având în vedere popularitatea HWMonitor și CPU-Z, foarte mulți utilizatori ar fi putut descărca fișierele infectate. Există riscul ca unii să fi instalat software-ul dăunător fără să realizeze, compromițându-și sistemele și datele. Atacurile asupra lanțului de aprovizionare au devenit o metodă din ce în ce mai populară de răspândire a malware-ului.
