Hackers comprometeram uma API secundária do projeto CPUID e adulteraram links de download nos sites das ferramentas CPU-Z e HWMonitor, utilizando um loader avançado com técnicas de evasão de EDR por cerca de seis horas.
Uma invasão à API secundária do CPUID alterou os links de download nas páginas oficiais de dois dos softwares de diagnóstico de hardware mais populares: CPU-Z e HWMonitor.
Em decorrência da vulnerabilidade, usuários baixaram arquivos trojanizados entre os dias 9 e 10 de abril. A empresa identificou e corrigiu rapidamente o problema, confirmando que os binários originais não foram afetados.
O ataque focou em uma API auxiliar, um sistema de suporte que gerencia para onde os botões de download direcionam os usuários.
Loader avançado com técnicas de evasão de EDR
Os arquivos malignos distribuídos pelos links alterados estavam hospedados no serviço de armazenamento em nuvem Cloudflare R2, disfarçados como uma versão modificada de outro software de monitoramento de hardware, o HWiNFO.
O arquivo mal-intencionado era nomeado HWiNFO_Monitor_Setup. Ao ser executado, ele abria um instalador russo empacotado com o Inno Setup, um empacotador comumente utilizado em programas legítimos, mas aqui usado como uma camada de camuflagem.
Usuários perceberam a irregularidade e relataram o problema em plataformas como o Reddit. A distribuição maliciosa foi confirmada por analistas, que identificaram um loader sofisticado.
Esse malware é classificado como uma ameaça multifásica, funcionando quase completamente na memória. Ele realiza mascaramento de arquivos e emprega uma técnica específica para escapar de antivírus e soluções EDR, utilizando o proxy de funcionalidades da NTDLL a partir de um assembly .NET.
No momento da análise, o arquivo ZIP malicioso era identificado por 20 motores antivírus no VirusTotal, embora sem uma classificação clara. Alguns o rotularam como Tedy Trojan, enquanto outros o identificaram como Artemis Trojan. Pesquisadores também notaram que a variante falsa do HWiNFO atua como um infostealer, focando no roubo de informações.
Grupo suspeito de atacar usuários do FileZilla no mês anterior
A análise sugeriu que o ataque pode ter sido realizado pelo mesmo grupo que comprometeu a distribuição do cliente FTP FileZilla recentemente. Isso indica um padrão de ataques direcionados a ferramentas amplamente utilizadas.
A CPUID informou que a violação durou aproximadamente seis horas, ocorrendo enquanto o desenvolvedor principal estava de férias. Atualmente, os links de download direcionam para versões seguras dos dois softwares.
Acompanhe a Full Games nas redes sociais para mais informações. Inscreva-se em nossa newsletter e canal do YouTube para novidades sobre segurança e tecnologia.