CPU-Z e HWMonitor foram usados para distribuir malware após invasão

 (theregister.com)
3 pontos por GN⁺ 18 일 전 | 1 comentários | Compartilhar no WhatsApp
  • Os links de download dos populares utilitários de sistema HWMonitor e CPU-Z foram temporariamente adulterados para distribuir malware
  • Os invasores assumiram o controle de parte do backend do site da CPUID e passaram a fornecer aleatoriamente arquivos maliciosos no lugar dos instaladores legítimos
  • A versão maliciosa incluía uma falsa CRYPTBASE.dll, comunicava-se com um servidor de comando e controle e injetava um payload .NET executado em memória por meio do PowerShell
  • A CPUID reconheceu o incidente e informou que corrigiu o problema em 6 horas, afirmando que os arquivos originais assinados não foram comprometidos
  • O caso reforça a continuidade dos ataques à cadeia de suprimentos, mostrando que é possível causar danos apenas pela rota de distribuição, sem alterar o código

Site da CPUID é invadido e download do HWMonitor é substituído por malware

  • O site da CPUID foi temporariamente comprometido, e os links de download do HWMonitor e do CPU-Z foram adulterados para servir malware
    • Os invasores assumiram parte do backend e trocaram aleatoriamente links legítimos por arquivos maliciosos
    • Alguns usuários relataram que o instalador disparava alertas do antivírus ou aparecia com nomes de arquivo anormais
  • Foi confirmado um caso em que o link de atualização do HWMonitor 1.63 apontava para um arquivo incorreto chamado “HWiNFO_Monitor_Setup.exe”, levantando suspeitas de adulteração em etapa upstream
    • Em comunidades como o Reddit, vários usuários perceberam o problema e compartilharam alertas
  • A CPUID depois reconheceu oficialmente a invasão e explicou que o comprometimento afetou uma API auxiliar (componente de backend), e não o build do software em si, durante cerca de 6 horas
    • O incidente ocorreu entre 9 e 10 de abril e já foi corrigido
    • A empresa afirmou explicitamente que os arquivos originais assinados não foram comprometidos
  • O instalador malicioso tinha como alvo usuários de HWMonitor em 64 bits e incluía uma falsa CRYPTBASE.dll disfarçada de componente do Windows
    • Essa DLL se conectava a um servidor de comando e controle (C2) para baixar payloads adicionais
    • Para não deixar rastros em disco, o malware usava PowerShell para executar em memória, compilando um payload .NET no sistema da vítima e depois injetando-o em outro processo
    • Também foi observado acesso a credenciais salvas no navegador por meio da interface COM Chrome IElevation
  • A análise mostrou que este ataque usou a mesma infraestrutura de uma campanha anterior voltada a usuários do FileZilla
    • Segundo análise da vx-underground, há indícios de que o mesmo grupo atacante explorou várias redes de distribuição de software
  • A CPUID disse que resolveu o problema, mas o vetor de acesso à API e o número de usuários infectados ainda não foram divulgados
    • O caso é visto como um exemplo de como invasores podem causar danos apenas pela rota de distribuição, sem modificar o próprio código

Leituras relacionadas

1 comentários

 
GN⁺ 18 일 전
Opiniões no Hacker News

  • Sam, mantenedor do CPU-Z, explicou pessoalmente a situação. Como Franck está ausente no momento, ele está inspecionando o servidor e confirmou, com base no link do VirusTotal, que os arquivos no servidor estão normais. No entanto, parte dos links foi adulterada para apontar para um instalador malicioso, ficando exposta por cerca de 6 horas (09/04~10/04 GMT). Agora os links foram restaurados e o site foi colocado em modo somente leitura para investigação adicional

    • Como alguém que já escreveu reviews de CPU no passado, posso garantir que tanto Sam quanto Franck são pessoas confiáveis. Franck é uma figura central da CPUID, e Sam é um colega conhecido também pelo Canard PC e pelo projeto Memtest
    • Ainda bem que identificaram o problema rapidamente e corrigiram os links. Na verdade, no começo achei que o problema fosse o banner de anúncios do cpuid.com. A página de download está cheia de botões falsos como “Download Now” e “Install for Windows 10/11”. Por isso, nessas situações eu prefiro o comando winget install CPUID.CPU-Z
    • Nas últimas semanas, esta é a terceira vez que vejo casos em que alertas de disponibilidade foram explorados em Discord ou outros chats para realizar ataques de timing
    • Fiquei curioso sobre como esse ataque foi executado

  • Houve um caso em que o Windows Defender detectou imediatamente o vírus após o download, mas a pessoa ignorou porque está acostumada com muitos falsos positivos. Esses falsos positivos (false positives) têm o efeito colateral de reduzir a vigilância com segurança

    • Acho que a Microsoft também tem parte da culpa. Quando o Defender bloqueia arquivos crackeados simplesmente com motivos como “Win32/Keygen”, os usuários acabam adquirindo o hábito de desativar o antivírus. No fim, isso também deixa passar malware real
    • Distribuição baseada em código-fonte ou builds reproduzíveis (reproducible builds) podem ajudar a mitigar esse problema
    • Para evitar esse tipo de situação, é preciso uma loja de aplicativos Windows ou um gerenciador de pacotes confiável

  • Houve ironia chamando de “escudo humano” as pessoas que instalam software novo imediatamente

    • Mas CPU-Z e HWMonitor costumam ser usados logo após montar ou configurar um PC novo, para verificar o hardware. Não é como testar atualizações experimentais de pacotes npm; é só baixar a versão mais recente
    • Seria bom ter uma ferramenta que informasse aos usuários a reputação de segurança do software, já que Crowdstrike e ferramentas SAST só detectam depois da instalação
    • Porém, o fato de uma versão ter um mês não garante que ela seja segura. O atacante pode começar o comportamento malicioso só meses depois

  • O afetado desta vez foi o HWMonitor; a página oficial e o HWInfo são programas diferentes. O mesmo tema também está sendo discutido no Reddit

  • O instalador em si estava normal, mas os links do site foram adulterados para apontar para um executável malicioso hospedado no Cloudflare R2. Fica a expectativa por uma análise futura da causa

    • Isso parece menos um ataque à cadeia de suprimentos e mais um ataque de watering hole. Para desenvolvedores, usar gerenciadores de pacotes como winget ou chocolatey é mais seguro

  • Para usuários de Windows, instalar via winget é relativamente vantajoso. O manifesto oficial faz verificação de assinatura, e é possível instalar com segurança usando o comando winget install --exact --id CPUID.CPU-Z

    • Mas o WinGet não é uma proteção completa. O processo de validação é superficial e, se a origem já estiver comprometida, uma atualização maliciosa também pode passar. Na prática, é quase uma versão CLI do MajorGeeks
    • Só a verificação de SHA no manifesto dificilmente impede adulterações. Fiquei curioso sobre como a verificação de assinatura funciona
    • Ainda assim, o Winget vem melhorando aos poucos. Por exemplo, quando o link do site oficial do ImageMagick estava quebrado, o download pelo Winget funcionou normalmente
    • Graças aos gerenciadores de pacotes, também foi possível reduzir danos no recente caso de sequestro do Notepad++. Se o desenvolvedor distribui diretamente, precisa cuidar da segurança da infraestrutura, como gestão de PKI e distribuição de chaves de assinatura

  • Há preocupação sobre se as versões instaladas via Winget (v1.63, v2.19) são seguras. Estão verificando o manifesto no GitHub e o link do Winstall

  • Parece que o mesmo grupo que atacou o FileZilla no mês passado também esteve envolvido desta vez. Agora, em vez de usar um domínio falso, eles invadiram a camada de API do site oficial, fazendo com que o site legítimo distribuísse arquivos maliciosos

  • Detalhes técnicos adicionais estão reunidos na publicação do vx-underground

  • Este ataque foi uma tentativa sofisticada contra utilitários em que usuários técnicos confiam; o principal vetor de ataque não foi o binário em si, mas a camada de API que gera os links de download