Atores de ameaça ainda não identificados comprometeram o site da CPUID, em cpuid[.]com, que hospeda ferramentas populares de monitoramento de hardware, como CPU-Z, HWMonitor, HWMonitor Pro e PerfMonitor, por menos de 24 horas para distribuir executáveis maliciosos e implantar o trojan de acesso remoto STX RAT.
O incidente ocorreu entre 9 de abril, às 15h UTC, e 10 de abril, às 10h UTC, período em que os links de download dos instaladores do CPU-Z e do HWMonitor foram substituídos por endereços que apontavam para sites maliciosos.
Em uma publicação no X, a CPUID confirmou a violação e afirmou que tudo começou com o comprometimento de uma “secondary feature”, basicamente uma API paralela, que fez o site principal exibir links maliciosos de forma aleatória. A empresa destacou ainda que os arquivos originais assinados não foram afetados.
Usuários que baixaram qualquer uma das ferramentas relataram no Reddit que o portal oficial de downloads passou a apontar para serviços de armazenamento, incluindo Cloudflare R2, e a entregar versões trojanizadas de software de diagnóstico e monitoramento de terceiros, como o HWiNFO. O arquivo malicioso foi identificado como HWiNFO_Monitor_Setup.
Ao ser executado, ele iniciava um instalador russo com wrapper Inno Setup, comportamento atípico e altamente suspeito.
Relatos também indicavam que ainda era possível baixar a versão limpa do hwmonitor_1.63.exe por meio de uma URL direta, o que sugeria que os binários originais permaneciam intactos, embora a cadeia de distribuição tivesse sido comprometida.
A alteração no fluxo de download também foi confirmada pelo Igor’s Lab e pelo perfil @vxunderground, que apontaram o envolvimento de um loader relativamente avançado, com uso de técnicas, táticas e procedimentos já conhecidos, os chamados TTPs.
“Quando comecei a investigar isso mais de perto, descobri que não se trata de um malware comum”, afirmou o vxunderground.
“Esse malware é profundamente trojanizado, é distribuído a partir de um domínio comprometido (cpuid-dot-com), faz file masquerading, opera em múltiplas etapas, atua quase totalmente em memória e usa métodos interessantes para evitar EDRs e/ou antivírus, como o proxy de funcionalidades do NTDLL a partir de uma assembly .NET.”
Segundo o pesquisador, o mesmo grupo de ameaça já havia mirado usuários do FileZilla no mês passado, o que indicava uma estratégia voltada a utilitários amplamente utilizados.
Pesquisadores da Kaspersky informaram que os sites maliciosos usados na campanha incluíam cahayailmukreatif.web[.]id, pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev, transitopalermo[.]com e vatrobran[.]hr.
“O software trojanizado foi distribuído tanto em arquivos ZIP quanto em instaladores independentes dos produtos citados”, informou a empresa russa de cibersegurança. “Esses arquivos contêm um executável legítimo e assinado do produto correspondente e uma DLL maliciosa, nomeada ‘CRYPTBASE.dll’, para explorar a técnica de DLL side-loading.”
Essa DLL maliciosa se comunica com um servidor externo e executa cargas adicionais, mas só depois de realizar verificações anti-sandbox para evitar a detecção.
O objetivo final da campanha é implantar o STX RAT, um RAT com recursos de HVNC e amplas capacidades de infostealer.
“O STX RAT expõe um amplo conjunto de comandos para controle remoto, execução de payloads adicionais e ações pós-exploração, como execução em memória de EXE/DLL/PowerShell/shellcode, reverse proxy/tunneling e interação com a área de trabalho”, disse a eSentire em uma análise publicada na semana passada.
O endereço do servidor de comando e controle, ou C2, e a configuração de conexão foram reaproveitados de uma campanha anterior que usou instaladores trojanizados do FileZilla hospedados em sites falsos para distribuir o mesmo malware. Essa atividade foi documentada pela Malwarebytes no início do mês passado.
A Kaspersky afirmou ter identificado mais de 150 vítimas, em sua maioria usuários individuais.
Ainda assim, organizações dos setores de varejo, manufatura, consultoria, telecomunicações e agricultura também foram afetadas. A maior parte das infecções está concentrada no Brasil, na Rússia e na China.
“O erro mais grave dos atacantes foi reutilizar a mesma cadeia de infecção envolvendo o STX RAT e os mesmos domínios para comunicação com o C2, já usados no ataque anterior relacionado a instaladores falsos do FileZilla”, disse a Kaspersky.
“No geral, as capacidades de desenvolvimento, implantação de malware e segurança operacional do grupo por trás desse ataque são bastante limitadas, o que permitiu detectar o comprometimento do watering hole assim que ele começou.”
Até o momento, a CPUID parece ter corrigido o problema e voltou a disponibilizar versões limpas tanto do CPU-Z quanto do HWMonitor.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...