CPU-Z et HWMonitor utilisés pour diffuser des malwares après un piratage

 (theregister.com)
3 points par GN⁺ 20 일 전 | 1 commentaires | Partager sur WhatsApp
  • Les liens de téléchargement des utilitaires système populaires HWMonitor et CPU-Z ont été temporairement altérés pour diffuser des malwares
  • Les attaquants ont pris le contrôle d’une partie du backend du site de CPUID afin de fournir aléatoirement des fichiers malveillants à la place des installateurs légitimes
  • La version malveillante inclut une fausse bibliothèque CRYPTBASE.dll, communique avec un serveur de commande et contrôle et injecte via PowerShell une charge utile .NET exécutée en mémoire
  • CPUID a reconnu l’intrusion et annoncé une correction en moins de 6 heures, en précisant que les fichiers originaux signés n’avaient pas été compromis
  • Cet incident s’inscrit dans la continuité des attaques de chaîne d’approvisionnement et montre qu’il est possible de causer des dommages en n’altérant que le chemin de distribution, sans modifier le code lui-même

Le site de CPUID piraté, les téléchargements de HWMonitor remplacés par des malwares

  • Le site de CPUID a été brièvement piraté, et les liens de téléchargement de HWMonitor et CPU-Z ont été détournés pour servir de vecteur de diffusion de malwares
    • Les attaquants ont pris le contrôle d’une partie du backend afin de remplacer aléatoirement les liens légitimes par des fichiers malveillants
    • Certains utilisateurs ont signalé que les installateurs déclenchaient des alertes antivirus ou apparaissaient sous des noms de fichiers anormaux
  • Un cas a été confirmé où le lien de mise à jour de HWMonitor 1.63 pointait vers un fichier erroné nommé « HWiNFO_Monitor_Setup.exe », ce qui laisse soupçonner une altération en amont
    • Sur Reddit et d’autres communautés, plusieurs utilisateurs ont identifié le problème et partagé des avertissements
  • CPUID a ensuite officiellement reconnu la compromission, en expliquant que ce n’était pas le build du logiciel lui-même mais une API auxiliaire (composant backend) qui avait été compromise pendant environ 6 heures
    • L’incident s’est produit entre le 9 et le 10 avril et a désormais été corrigé
    • L’entreprise a précisé que les fichiers originaux signés n’avaient pas été altérés
  • Le faux installateur visait les utilisateurs 64 bits de HWMonitor et incluait une fausse CRYPTBASE.dll se présentant comme un composant Windows
    • Cette DLL se connecte à un serveur de commande et contrôle (C2) pour télécharger des charges utiles supplémentaires
    • Afin de ne laisser aucune trace sur le disque, le malware s’exécute en mémoire via PowerShell, compile une charge utile .NET sur la machine de la victime puis l’injecte dans d’autres processus
    • Des tentatives d’accès aux identifiants enregistrés dans le navigateur via l’interface COM Chrome IElevation ont également été observées
  • L’analyse montre que cette attaque utilisait la même infrastructure qu’une campagne passée visant les utilisateurs de FileZilla
    • D’après l’analyse de vx-underground, des indices montrent que le même groupe d’attaquants a exploité plusieurs réseaux de distribution logicielle
  • CPUID affirme avoir résolu le problème, mais la voie d’accès à l’API et le nombre d’utilisateurs infectés n’ont pas encore été rendus publics
    • L’incident est considéré comme un exemple montrant qu’un attaquant peut causer des dégâts en ne manipulant que le chemin de distribution, sans toucher au code lui-même

À lire aussi

1 commentaires

 
GN⁺ 20 일 전
Avis sur Hacker News

  • Sam, le mainteneur de CPU-Z, a expliqué directement la situation. En l’absence de Franck, il inspecte actuellement les serveurs et, d’après le lien VirusTotal, les fichiers du serveur sont sains. En revanche, certains liens ont été altérés pour pointer vers un installateur malveillant, exposé pendant environ 6 heures (09/04~10/04 GMT). Les liens ont depuis été restaurés et le site a été basculé en mode lecture seule pour permettre une enquête complémentaire

    • En tant qu’ancien auteur de tests CPU, je peux garantir que Sam et Franck sont tous deux des personnes dignes de confiance. Franck est une figure centrale de CPUID, et Sam est aussi un ami connu pour Canard PC et le projet Memtest
    • Heureusement qu’ils ont vite identifié le problème et corrigé les liens. Au départ, je pensais en fait que le problème venait des bannières publicitaires de cpuid.com. La page de téléchargement contient trop de faux boutons comme « Download Now » ou « Install for Windows 10/11 ». C’est pour cela que, dans ce genre de situation, je préfère la commande winget install CPUID.CPU-Z
    • Ces dernières semaines, c’est la troisième fois que je vois des alertes de disponibilité exploitées sur Discord ou d’autres chats pour mener des attaques de timing
    • Je suis curieux de savoir comment cette attaque a été menée

  • Un cas rapporte que Windows Defender a immédiatement détecté un virus après le téléchargement, mais que l’alerte a été ignorée à cause des faux positifs habituels. Ce type de faux positif (false positive) a pour effet pervers d’émousser la vigilance en matière de sécurité

    • Je pense que Microsoft porte aussi une part de responsabilité. Quand Defender bloque des fichiers crackés simplement avec une raison comme « Win32/Keygen », cela habitue les utilisateurs à désactiver leur antivirus. Résultat, de vrais malwares finissent aussi par passer
    • Une distribution basée sur les sources ou des builds reproductibles (reproducible builds) pourraient atténuer ce problème
    • Pour éviter ce genre de situation, il faudrait un app store Windows ou un gestionnaire de paquets digne de confiance

  • Certains tournent en dérision les personnes qui installent immédiatement les nouvelles versions de logiciels, les qualifiant de « boucliers humains »

    • Mais CPU-Z ou HWMonitor sont souvent utilisés juste après l’installation d’un nouveau PC pour vérifier le matériel. On ne teste pas une mise à jour expérimentale comme avec un paquet npm, on télécharge simplement la dernière version
    • Ce serait bien d’avoir des outils capables d’indiquer la réputation de sécurité d’un logiciel, car Crowdstrike ou les outils SAST se limitent à détecter après installation
    • Cela dit, une version vieille d’un mois n’est pas forcément sûre. Un attaquant peut aussi attendre plusieurs mois avant de déclencher un comportement malveillant

  • Le logiciel touché cette fois est HWMonitor ; la page officielle et HWInfo concernent deux programmes différents. Le sujet est aussi en discussion sur Reddit

  • L’installateur lui-même était sain, mais le lien du site a été altéré pour pointer vers un exécutable malveillant hébergé sur Cloudflare R2. On attend une analyse des causes plus détaillée

    • Cela ressemble moins à une attaque de supply chain qu’à une attaque de watering hole. Pour les développeurs, utiliser un gestionnaire de paquets comme winget ou chocolatey est plus sûr

  • Pour les utilisateurs de Windows, installer via winget est relativement avantageux. La vérification de signature est effectuée à partir du manifeste officiel, et l’installation peut se faire en toute sécurité avec la commande winget install --exact --id CPUID.CPU-Z

    • Mais WinGet n’est pas une protection totale. Le processus de vérification reste superficiel, et si la source est déjà compromise, une mise à jour malveillante peut tout de même passer. C’est en pratique une sorte de version CLI de MajorGeeks
    • Un simple contrôle SHA dans le manifeste suffit difficilement à empêcher une altération. Je me demande comment fonctionne exactement la vérification de signature
    • Malgré tout, Winget s’améliore progressivement. Par exemple, quand le lien du site officiel d’ImageMagick était cassé, le téléchargement via Winget fonctionnait normalement
    • Les gestionnaires de paquets ont aussi permis de réduire les dégâts lors du récent incident de détournement de Notepad++. Si un développeur distribue lui-même son logiciel, il doit porter une attention particulière à la sécurité de l’infrastructure, à la gestion de la PKI et à la répartition des clés de signature

  • Certains s’inquiètent de la sûreté des versions installées via Winget (v1.63, v2.19). Ils vérifient le manifeste GitHub et le lien Winstall

  • Il semble que le même groupe qui avait attaqué FileZilla le mois dernier soit aussi impliqué ici. Cette fois, au lieu d’utiliser un faux domaine, il a piraté la couche API du site officiel, ce qui a permis de distribuer des fichiers malveillants depuis le site légitime

    • En réalité, FileZilla traîne depuis longtemps une controverse autour des bundles publicitaires/spyware. On peut même se demander si ce n’est pas déjà une menace en soi

  • Des détails techniques supplémentaires sont rassemblés dans le message de vx-underground

  • Cette attaque visait de manière sophistiquée des utilitaires de confiance pour les utilisateurs techniques : la principale surface d’attaque n’était pas le binaire lui-même, mais la couche API qui génère les liens de téléchargement