CPU-Z et HWMonitor utilisés pour diffuser des malwares après un piratage
(theregister.com)- Les liens de téléchargement des utilitaires système populaires HWMonitor et CPU-Z ont été temporairement altérés pour diffuser des malwares
- Les attaquants ont pris le contrôle d’une partie du backend du site de CPUID afin de fournir aléatoirement des fichiers malveillants à la place des installateurs légitimes
- La version malveillante inclut une fausse bibliothèque CRYPTBASE.dll, communique avec un serveur de commande et contrôle et injecte via PowerShell une charge utile .NET exécutée en mémoire
- CPUID a reconnu l’intrusion et annoncé une correction en moins de 6 heures, en précisant que les fichiers originaux signés n’avaient pas été compromis
- Cet incident s’inscrit dans la continuité des attaques de chaîne d’approvisionnement et montre qu’il est possible de causer des dommages en n’altérant que le chemin de distribution, sans modifier le code lui-même
Le site de CPUID piraté, les téléchargements de HWMonitor remplacés par des malwares
- Le site de CPUID a été brièvement piraté, et les liens de téléchargement de HWMonitor et CPU-Z ont été détournés pour servir de vecteur de diffusion de malwares
- Les attaquants ont pris le contrôle d’une partie du backend afin de remplacer aléatoirement les liens légitimes par des fichiers malveillants
- Certains utilisateurs ont signalé que les installateurs déclenchaient des alertes antivirus ou apparaissaient sous des noms de fichiers anormaux
- Un cas a été confirmé où le lien de mise à jour de HWMonitor 1.63 pointait vers un fichier erroné nommé « HWiNFO_Monitor_Setup.exe », ce qui laisse soupçonner une altération en amont
- Sur Reddit et d’autres communautés, plusieurs utilisateurs ont identifié le problème et partagé des avertissements
- CPUID a ensuite officiellement reconnu la compromission, en expliquant que ce n’était pas le build du logiciel lui-même mais une API auxiliaire (composant backend) qui avait été compromise pendant environ 6 heures
- L’incident s’est produit entre le 9 et le 10 avril et a désormais été corrigé
- L’entreprise a précisé que les fichiers originaux signés n’avaient pas été altérés
- Le faux installateur visait les utilisateurs 64 bits de HWMonitor et incluait une fausse CRYPTBASE.dll se présentant comme un composant Windows
- Cette DLL se connecte à un serveur de commande et contrôle (C2) pour télécharger des charges utiles supplémentaires
- Afin de ne laisser aucune trace sur le disque, le malware s’exécute en mémoire via PowerShell, compile une charge utile .NET sur la machine de la victime puis l’injecte dans d’autres processus
- Des tentatives d’accès aux identifiants enregistrés dans le navigateur via l’interface COM Chrome IElevation ont également été observées
- L’analyse montre que cette attaque utilisait la même infrastructure qu’une campagne passée visant les utilisateurs de FileZilla
- D’après l’analyse de vx-underground, des indices montrent que le même groupe d’attaquants a exploité plusieurs réseaux de distribution logicielle
- CPUID affirme avoir résolu le problème, mais la voie d’accès à l’API et le nombre d’utilisateurs infectés n’ont pas encore été rendus publics
- L’incident est considéré comme un exemple montrant qu’un attaquant peut causer des dégâts en ne manipulant que le chemin de distribution, sans toucher au code lui-même
Aucun commentaire pour le moment.