Злоумышленники подменили файлы с CPUID, распространяя троян STX RAT

Если вы пытались скачать программное обеспечение с сайта CPUID в конце прошлой недели, вы могли вместо этого загрузить вредоносную программу.

«Расследование все еще продолжается, но похоже, что вторичная функция (по сути, побочный API) была скомпрометирована примерно на шесть часов между 9 и 10 апреля, что привело к случайному отображению на главном сайте вредоносных ссылок (наши подписанные оригинальные файлы не были затронуты)», — заявил в пятницу участник проекта CPUID Сэмюэль Демёлеместер и принес извинения пострадавшим пользователям.

«Уязвимость была обнаружена и с тех пор устранена», — добавил он.

Отравленный «водопой»

CPUID (на домене cpuid[.]com) — это сайт, на котором размещаются бесплатные служебные программы, в основном для Windows и Android.

Среди его самых популярных утилит — HWMonitor, программа для мониторинга оборудования, которая считывает основные датчики состояния ПК, и CPU-Z, утилита, собирающая подробную информацию о процессоре, кодовом имени, техпроцессе, корпусе и уровнях кэша компьютера.

Оповещения о том, что что-то не так, начали появляться на Reddit в пятницу, 10 апреля, и один пользователь отметил, что его антивирус пометил загруженный файл HWiNFO_Monitor_Setup.exe как вредоносный.

Исследователи «Лаборатории Касперского» сообщают, что сайт CPUID перенаправлял на вредоносные загрузки с 9 апреля, 15:00 UTC, по 10 апреля, 10:00 UTC.

«Троянизированное программное обеспечение распространялось как в виде ZIP-архивов, так и в виде автономных установщиков для упомянутых продуктов. Эти файлы содержат легитимный подписанный исполняемый файл соответствующего продукта и вредоносную DLL с именем CRYPTBASE.dll, что позволяет использовать технику DLL Sideloading», — пояснили они.

«Вредоносная DLL отвечает за подключение к C2-серверу и выполнение последующих полезных нагрузок. Перед этим она также выполняет набор проверок на наличие песочницы и, если все проверки пройдены, подключается к C2-серверу».

Исследователь вредоносного ПО Джузеппе Массаро также отметил, что загрузки CPU-Z, HWMonitor Pro, PerfMonitor и PowerMAX были троянизированы или являлись вредоносными.

«Оригинальные подписанные бинарные файлы CPUID НЕ были скомпрометированы — злоумышленник распространял свои собственные троянизированные пакеты через перенаправление», — выяснил Массаро. «Скомпрометированный API вызывал случайное перенаправление ссылок для скачивания на вредоносные URL-адреса (сегменты Cloudflare R2)».

Домен управления и контроля (на supp0v3[.]com), с которого загружалось вредоносное ПО, ранее использовался в кампании, нацеленной на пользователей FileZilla через похожий домен и троянизированную загрузку.

В ходе анализа Массарро также обнаружил, что поддомен (ai.supp0v3.com) раскрывал серверную часть.

«Сервер использует украденный или самоподписанный wildcard-сертификат VK.com (ВКонтакте) с российскими данными о местоположении (Санкт-Петербург). Это в сочетании с выбором пуленепробиваемого хостинга (Global Connectivity Solutions — провайдера, часто используемого для вредоносного размещения), убедительно указывает на угрозу, связанную с Россией», — отметил он.

«Тот же IP-адрес ранее использовался для эксплойтов с ярлыками .url (обход CVE-2023-36025 SmartScreen), нацеленных на загрузки LibreOffice и Google Drive, распространяя VBS-полезные нагрузки через WebDAV (file://147.45.178.61@80/file/…). Это связывает текущую кампанию по боковой загрузке DLL с более ранней кампанией того же актора, использовавшей эксплойты с ярлыками Windows.»

Что делать?

Вредоносная полезная нагрузка в этой кампании «водопоя» — это STX RAT, устойчивый троян удаленного доступа, способный похищать учетные данные и данные. По данным eSentire, он охотится за учетными данными и куками браузеров, криптокошельками и учетными данными FTP-клиентов.

Исследователи «Лаборатории Касперского» отметили, что ошибки злоумышленников — повторное использование ранее замеченной цепочки заражения и доменных имен, применявшихся в прошлых атаках — привели к быстрому обнаружению этой последней атаки типа «водопой».

Тем не менее, на основе своей телеметрии они выявили более 150 жертв, большинство из которых — частные лица.

«Однако также пострадал ряд организаций из различных секторов, включая розничную торговлю, производство, консалтинг, телекоммуникации и сельское хозяйство, причем большинство заражений зафиксировано в Бразилии, России и Китае», — добавили они.

Они рекомендовали организациям проверить свои системы на наличие следов вредоносных архивов и исполняемых файлов, связанных с этой атакой, а также изучить DNS-логи на предмет обращения к вредоносным веб-сайтам, с которых загружались троянизированные установщики.

При обнаружении признаков компрометации организациям (и частным лицам) следует очистить затронутые системы и изменить все учетные данные, которые могли быть скомпрометированы вредоносным ПО.

Подпишитесь на нашу рассылку экстренных новостей, чтобы всегда быть в курсе последних утечек данных, уязвимостей и киберугроз. Оформите подписку здесь!