Um grupo de atacantes ainda não identificado comprometeu o site da CPUID cpuid.com, que aloja ferramentas populares de monitorização de hardware como CPU-Z, HWMonitor, HWMonitor Pro e PerfMonitor, durante menos de 24 horas, para distribuir executáveis maliciosos do software e instalar um trojan de acesso remoto chamado STX RAT.
O incidente decorreu aproximadamente entre 9 de abril, às 15:00 UTC, e 10 de abril, às 10:00 UTC, com os URLs de descarregamento dos instaladores do CPU-Z e do HWMonitor a serem substituídos por ligações para sites maliciosos.
Num comunicado partilhado no X, a CPUID confirmou a intrusão, atribuindo-a ao comprometimento de uma “funcionalidade secundária (basicamente uma API auxiliar)”, que fez com que o site principal exibisse aleatoriamente ligações maliciosas.
Importa notar que o ataque não afetou os ficheiros originais assinados.
Segundo a Kaspersky, os nomes dos websites maliciosos eram os seguintes:
cahayailmukreatif.web[.]id
pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
transitopalermo[.]com
vatrobran[.]hr
O software trojanizado foi distribuído tanto como ficheiros ZIP como como instaladores autónomos para os produtos mencionados, afirmou a empresa russa de cibersegurança.
Esses ficheiros contêm um executável assinado legítimo do respetivo produto e uma DLL maliciosa, chamada CRYPTBASE.dll, para tirar partido da técnica de DLL side-loading.
A DLL maliciosa, por sua vez, contacta um servidor externo e executa cargas adicionais, mas só depois de realizar verificações anti-sandbox para evitar a deteção.
O objetivo final da campanha é instalar o STX RAT, um RAT com HVNC e amplas capacidades de roubo de informação.
O STX RAT expõe um vasto conjunto de comandos para controlo remoto, execução de payloads subsequentes e ações pós-exploração (por exemplo, execução em memória de EXE/DLL/PowerShell/shellcode, reverse proxy/tunneling, interação com o ambiente de trabalho), segundo a eSentire.
O endereço do servidor de comando e controlo (C2) e a configuração de ligação foram reutilizados de uma campanha anterior que usou instaladores trojanizados do FileZilla alojados em sites falsos para distribuir o mesmo malware.
A atividade já tinha sido documentada pela Malwarebytes no início do mês passado.
A Kaspersky afirmou ter identificado mais de 150 vítimas, na sua maioria utilizadores individuais afetados pelo incidente.
No entanto, organizações dos setores do retalho, fabrico, consultoria, telecomunicações e agricultura também foram impactadas.
A maioria das infeções está localizada no Brasil, Rússia e China.
A falha mais grave dos atacantes foi reutilizar a mesma cadeia de infeção associada ao STX RAT e os mesmos domínios para comunicação C2, da campanha anterior relacionada com instaladores falsos do FileZilla, afirmou a Kaspersky.
A capacidade global de desenvolvimento/deploy de malware e de segurança operacional do ator por trás deste ataque é bastante baixa, o que, por sua vez, tornou possível detetar o comprometimento do watering hole assim que começou.
