Проект CPUID, известный своими популярными утилитами для мониторинга системы, столкнулся с серьёзной атакой. Хакеры получили доступ к одному из API проекта и подменили ссылки для загрузки программ CPU-Z и HWMonitor, распространяя вредоносные файлы.
Инцидент затронул официальный сайт, через который миллионы пользователей скачивают инструменты для диагностики и отслеживания состояния компьютера.
По имеющимся данным, злоумышленники не взломали сами программы, а атаковали цепочку распространения. Они изменили ссылки загрузки, из-за чего вместо оригинальных файлов пользователи получали заражённые версии.
Файлы загружались через облачное хранилище и маскировались под установщик другого популярного инструмента HWiNFO. Вредоносный файл распространялся под названием HWiNFO_Monitor_Setup и запускал подозрительный установщик на базе Inno Setup.
При этом оригинальные исполняемые файлы оставались нетронутыми, проблема касалась именно системы дистрибуции.
По оценкам исследователей, речь идёт о сложном многоступенчатом вредоносном ПО:
- используется загрузчик с современными техниками скрытия
- применяется маскировка под легитимные файлы
- часть операций выполняется в оперативной памяти
- реализованы методы обхода антивирусов и систем защиты
Некоторые антивирусы классифицировали угрозу как троян (в том числе варианты Tedy и Artemis), а часть специалистов считает, что это инфостилер — программа для кражи данных пользователей.
По заявлению CPUID, уязвимость была связана с дополнительным API и эксплуатировалась около шести часов в период с 9 по 10 апреля. В это время сайт мог случайным образом показывать вредоносные ссылки вместо безопасных.
Также сообщается, что атака произошла в момент отсутствия основного разработчика, что могло облегчить действия злоумышленников.
После обнаружения проблемы доступ был оперативно восстановлен, а уязвимость закрыта. На данный момент сайт снова распространяет чистые версии программ.
Исследователи подтвердили факт компрометации цепочки загрузки, однако сама инфраструктура подписанных файлов осталась защищённой.
Этот случай демонстрирует опасность атак на цепочку поставок программного обеспечения. Даже если сами программы безопасны, подмена ссылок или серверов загрузки может привести к заражению большого числа пользователей.
Особенно уязвимыми оказываются популярные утилиты, такие как CPU-Z и HWMonitor, которыми пользуются миллионы людей по всему миру.
