В ночь с 9 на 10 апреля злоумышленники получили контроль над дополнительным API на официальном сайте разработчика утилит CPU-Z и HWMonitor. В результате в течение примерно шести часов часть посетителей вместо легитимных установщиков получала заражённые файлы, которые антивирусы идентифицируют как троянов для кражи данных.
Проблему заметили пользователи, которые попытались обновить HWMonitor до версии 1.63 и вместо обычного файла с сайта скачивался установщик с именем HWiNFO_Monitor_Setup.exe — название, которое не используется разработчиком. Встроенный защитник Windows сразу помечал его как вредоносный и на VirusTotal файл распознала как троян минимум 32 антивирусные компании. Сотрудник CPUID объяснил, что скомпрометирована была не основная инфраструктура, а «второстепенная функция — по сути, сторонний API» из-за этого на главном сайте cpuid.com случайным образом вместо нормальных ссылок на скачивание отображались вредоносные. Ранее был обнаружен первый вирус ИИ, который заражает Android-смартфоны.
Угроза вирусов и троянов становится всё более изощренной
Уязвимость обнаружили в течение шести часов и закрыли, но точное число пользователей, которые успели скачать заражённые установщики, пока неизвестно. В момент пика активности сайт CPUID временно стал недоступен, но сейчас работает штатно. Аналитики из vx-underground изучили вредоносную нагрузку и пришли к выводу, что её автор уделил внимание обходу защиты. Вирус работает почти исключительно в памяти, пытается обнаружить эмуляцию и затруднить обратную разработку, а для загрузки следующих стадий используется PowerShell.
Основная цель, по данным аналитиков, — кража учётных данных из браузеров: сохранённых паролей, файлов cookie и, вероятно, данных криптокошельков, а сам вирус маскирует один из своих компонентов под легитимную библиотеку Windows CRYPTBASE.dll. Разработчики CPUID подтвердили, что проблема устранена, и принесли извинения. Но тем, кто обновлял или скачивал HWMonitor и CPU-Z с официального сайта в промежутке с вечера 9 апреля до утра 10 апреля, стоит отнестись к этому серьёзно. Аналогичная ситуация была ранее с 7-Zip, но там сайт-двойник маскировал заразу под официальные ссылки.
Пострадавшие приложения
CPU-Z и HWMonitor — одни из самых популярных утилит для мониторинга железа среди энтузиастов, оверклокеров и ИТ-специалистов. Их устанавливают миллионы пользователей по всему миру и атака через официальный сайт разработчика — редкое событие, потому что большинство пользователей доверяет именно этому источнику и редко перепроверяет цифровые подписи или хеши файлов. Хорошая новость в том, что вредоносные ссылки появлялись случайным образом, то есть не каждый посетитель сайта гарантированно получал троян, а плохая в том, что точную статистику CPUID пока не опубликовала.
А вы проверяете цифровые подписи и хеши файлов перед установкой обновлений или доверяете официальным сайтам на слово? Делитесь в комментариях.
PC НовостиЖелезо и технологииОС и программыВзломы и мошенничество
Источник: vgtimes.ru