CPUID hacked to deliver malware via CPU-Z, HWMonitor downloads

Compromission des serveurs CPUID : distribution de logiciels malveillants

Le site officiel de CPUID a été victime d’une intrusion via une API secondaire, permettant à des attaquants de détourner les liens de téléchargement de CPU-Z et HWMonitor pendant environ six heures. Les utilisateurs étaient redirigés vers le téléchargement d’un installateur malveillant, masqué sous l’apparence d’une version de HWiNFO, tandis que les fichiers originaux signés restaient intacts.

Points clés :

• Vecteur d’attaque : Compromission d’une API liée au site Web, redirigeant le trafic vers un service de stockage Cloudflare R2.
• Nature de la menace : Malware multi-étagé hautement sophistiqué, fonctionnant majoritairement en mémoire pour échapper à la détection (EDR/AV).
• Comportement : Le logiciel malveillant est identifié comme un infostealer (voleur d’informations) utilisant des techniques avancées comme le proxying des fonctions NTDLL via une assembly .NET.
• Cible : Les utilisateurs d’utilitaires populaires (CPUID et, précédemment, FileZilla).

Vulnérabilités :

• Aucune CVE n’a été spécifiquement attribuée à cet incident, car il s’agit d’une compromission de chaîne d’approvisionnement logicielle (supply chain attack) via une API tierce, et non d’une faille dans le logiciel lui-même.

Recommandations :

• Vérification des fichiers : S’assurer que les exécutables téléchargés sont bien signés numériquement par le développeur légitime.
• Analyse de sécurité : Si un téléchargement a eu lieu durant la période concernée (9-10 avril), effectuer une analyse complète avec une solution antivirus à jour.
• Gestion des accès : Pour les administrateurs, renforcer la sécurité des API et des accès aux serveurs de distribution, notamment lors des périodes d’absence du personnel clé.
• Réinitialisation : En cas d’infection confirmée, procéder à une réinstallation du système et à la réinitialisation des mots de passe enregistrés sur la machine compromise.

Source