В социальных сетях появились тревожные сообщения о популярных инструментах мониторинга оборудования, HWMonitor и CPU-Z. Согласно сообщениям, пользователи, пытающиеся загрузить последние версии, получают подозрительный установщик, помеченный антивирусным программным обеспечением. Это вызывает опасения и ставит под угрозу миллионы устройств, поскольку каналы загрузки, по всей видимости, были скомпрометированы.
Проблема впервые всплыла на Reddit, где пользователи сообщили, что официальные ссылки для загрузки доставляли неожиданный исполняемый файл вместо легитимного установщика. Пользователь u/DMkiller говорит, что, когда он собирался обновить HWMonitor с версии 1.42 до 1.63, используя интерфейс программы, он перешёл на официальную страницу CPUID. Однако загружаемый файл был указан как "HWiNFO_Monitor_Setup.exe", хотя обычно выглядит примерно так: "hwmonitor_1.62".
После загрузки файла Windows Defender пометил его как вирус, но он проигнорировал предупреждение, и началась установка российской программы, которую, к счастью, он немедленно отменил. После проверки файла на Virustotal.com он получил следующие шокирующие результаты:
В отчёте по безопасности указано, что «32 из 71 поставщиков решений безопасности пометили этот файл как вредоносный» для файла HWINFO_Monitor_Setup.exe, с выявлением многочисленных угроз, таких как «trojan.tedy» и «filerepmalware».
Другие пользователи сообщили о подобных результатах, что вызывает беспокойство, учитывая, что атаки вредоносных программ могут украсть информацию пользователей на миллионах ПК. Некоторые независимые сервисы отслеживания кибербезопасности подтвердили достоверность этих сообщений. Группа мониторинга безопасности "vx-underground" подтвердила, что это не ложное срабатывание, а многоэтапный троянский инцидент, произошедший через скомпрометированный домен.
Несколько пользователей сообщили о получении несовпадающих имён файлов и предупреждений антивируса. Это явно указывает на то, что утилиты были скомпрометированы. Разработчик CPU-Z и HWMonitor Самуэль Демелеместер предположил, что расследование в настоящее время продолжается, и, согласно их анализу, сами основные бинарные файлы не были изменены. Компрометирована была второстепенная функция или API, связанный с веб-сайтом, на протяжении почти шести часов.
Настоятельно рекомендуется читателям не загружать обе утилиты до удаления вредоносного ПО, а если вы уже установили их ранее, рекомендуется не обновлять их.
Источник: www.playground.ru