Utilizatorii HWMonitor și CPU-Z, victime ale unui atac informatic de amploare
București – Zeci de mii de utilizatori din întreaga lume ar putea fi afectați de un atac informatic care a compromis site-ul oficial al CPUID, compania care dezvoltă software-ul de monitorizare hardware HWMonitor și CPU-Z. Potrivit informațiilor disponibile, atacatorii au reușit să distribuie instalatori infectați cu malware, expunând utilizatorii la riscul de a-și compromite sistemele și datele personale.
Compromiterea sursei de încredere
Incidentul a fost raportat inițial de utilizatori de pe platforma Reddit, care au observat că, în încercarea de a descărca actualizări pentru HWMonitor, erau redirecționați către un site suspect. Pagina respectivă oferea un fișier de instalare numit „HWiNFO_Monitor_Setup.exe”, care, la executare, lansa o interfață în limba rusă, semnalând imediat o potențială problemă. HWiNFO este un software diferit, dezvoltat de un alt furnizor, făcând ca această redirecționare să fie extrem de suspectă.
Investigațiile ulterioare au arătat că link-ul de descărcare de pe site-ul oficial CPUID direcționa către un domeniu extern găzduit pe Cloudflare R2, unde era disponibil un program de instalare infectat. Acest fișier conținea malware încorporat într-un pachet Inno Setup modificat, o tehnică utilizată pentru a ascunde încărcături malicioase și a evita detectarea. Analizele realizate pe platforme precum VirusTotal au confirmat natura rău intenționată a fișierelor. Se pare că și descărcările CPU-Z au fost afectate, unii utilizatori raportând detecții antivirus și instabilitate a sistemului.
Scurgerea datelor și metodele sofisticate de atac
Malware-ul, descris ca un implant sofisticat în mai multe etape, avea ca obiectiv principal furtul datelor de autentificare din browser. Acesta încerca să acceseze interfața COM IElevation a Google Chrome pentru a extrage și decripta parolele salvate. Conform specialiștilor, malware-ul folosea tehnici avansate de evaziune pentru a evita detectarea de către sistemele antivirus și de securitate.
Dezvoltatorul software-ului, Samuel Demeulemeester, a declarat pe rețelele de socializare că „o interfață API secundară a fost compromisă timp de aproximativ șase ore, determinând site-ul web să se conecteze la fișierele rău intenționate”. Acesta a mai adăugat că fișierele originale semnate de CPUID nu au fost afectate, iar problema a fost remediată.
Reacția și perspectivele de securitate cibernetică
Incidentul evidențiază vulnerabilitatea lanțului de aprovizionare software și necesitatea unei atenții sporite la securitatea cibernetică. Deși CPUID a remediat problema, nu au fost oferite detalii despre amploarea atacului sau despre numărul de utilizatori afectați.
Acest atac vine într-un context în care atacurile asupra lanțului de aprovizionare au crescut. În ultimele luni, astfel de atacuri au vizat diverse platforme și aplicații, inclusiv biblioteci JavaScript și chiar actualizări ale unor aplicații populare.
În prezent, ancheta privind intruziunea este în curs de desfășurare.
