⚡ Não perca: notícia importante no ar! ⚡
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os hackers obtiveram acesso a uma API para o projeto CPUID e alteraram os links de download no site oficial para fornecer executáveis maliciosos para as populares ferramentas CPU-Z e HWMonitor.
Os dois utilitários têm milhões de usuários que dependem deles para monitorar a integridade física do hardware interno do computador e para especificações abrangentes de um sistema.
Os usuários que baixaram qualquer uma das ferramentas relataram recentemente no Reddit que o portal oficial de download aponta para o serviço de armazenamento Cloudflare R2 e busca uma versão trojanizada do HWiNFO, outra ferramenta de diagnóstico e monitoramento de um desenvolvedor diferente.
O nome do arquivo malicioso é HWiNFO_Monitor_Setup, e executá-lo inicia um instalador russo com um wrapper Inno Setup, que é atípico e altamente suspeito.
Os usuários relataram que ainda era possível baixar o hwmonitor_1.63.exe limpo do URL direto, indicando que os binários originais estavam intactos, mas os links de distribuição parecem ter sido envenenados.
A cadeia de download externalizada também foi confirmada pelos Laboratórios de Igor e @vxunderground, que relataram que está envolvido um carregador bastante avançado usando técnicas, táticas e procedimentos (TTPs) conhecidos.
“Quando comecei a cutucar isso com um pedaço de pau, descobri que este não é o típico malware comum”, afirmou vxunderground.
“Este malware é profundamente trojanizado, distribuído a partir de um domínio comprometido (cpuid-dot-com), realiza mascaramento de arquivos, é multi-estágio, opera (quase) inteiramente na memória e usa alguns métodos interessantes para escapar de EDRs e/ou AVs, como proxy da funcionalidade NTDLL de um assembly .NET.”
O pesquisador afirma que o mesmo grupo de ameaças teve como alvo os usuários da solução FTP FileZilla no mês passado, sugerindo que o invasor está se concentrando em utilitários amplamente utilizados.
O ZIP baixado é sinalizado por 20 mecanismos antivírus no VirusTotal, embora não seja claramente identificado. Alguns o classificam como Trojan Tedy e outros como Trojan Artemis.
Alguns pesquisadores do Virustotal dizem que a variante falsa do HWiNFO é um malware infostealer.
BleepingComputer entrou em contato com CPUID para saber mais sobre o que aconteceu, a data do comprometimento, as versões afetadas e o que os usuários afetados devem fazer. Um porta-voz forneceu a seguinte declaração.
“As investigações ainda estão em andamento, mas parece que um recurso secundário (basicamente uma API secundária) foi comprometido por aproximadamente seis horas entre 9 e 10 de abril, fazendo com que o site principal exibisse aleatoriamente links maliciosos (nossos arquivos originais assinados não foram comprometidos). -CPUID
A mesma pessoa nos contou que os hackers os atacaram no momento em que o desenvolvedor principal estava de férias.
Atualmente, parece que o CPUID corrigiu o problema e agora oferece versões limpas para CPU-Z e HWMonitor.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
Os dois utilitários têm milhões de usuários que dependem deles para monitorar a integridade física do hardware interno do computador e para especificações abrangentes de um sistema.
Os usuários que baixaram qualquer uma das ferramentas relataram recentemente no Reddit que o portal oficial de download aponta para o serviço de armazenamento Cloudflare R2 e busca uma versão trojanizada do HWiNFO, outra ferramenta de diagnóstico e monitoramento de um desenvolvedor diferente.
O nome do arquivo malicioso é HWiNFO_Monitor_Setup, e executá-lo inicia um instalador russo com um wrapper Inno Setup, que é atípico e altamente suspeito.
Os usuários relataram que ainda era possível baixar o hwmonitor_1.63.exe limpo do URL direto, indicando que os binários originais estavam intactos, mas os links de distribuição parecem ter sido envenenados.
A cadeia de download externalizada também foi confirmada pelos Laboratórios de Igor e @vxunderground, que relataram que está envolvido um carregador bastante avançado usando técnicas, táticas e procedimentos (TTPs) conhecidos.
“Quando comecei a cutucar isso com um pedaço de pau, descobri que este não é o típico malware comum”, afirmou vxunderground.
“Este malware é profundamente trojanizado, distribuído a partir de um domínio comprometido (cpuid-dot-com), realiza mascaramento de arquivos, é multi-estágio, opera (quase) inteiramente na memória e usa alguns métodos interessantes para escapar de EDRs e/ou AVs, como proxy da funcionalidade NTDLL de um assembly .NET.”
O pesquisador afirma que o mesmo grupo de ameaças teve como alvo os usuários da solução FTP FileZilla no mês passado, sugerindo que o invasor está se concentrando em utilitários amplamente utilizados.
O ZIP baixado é sinalizado por 20 mecanismos antivírus no VirusTotal, embora não seja claramente identificado. Alguns o classificam como Trojan Tedy e outros como Trojan Artemis.
Alguns pesquisadores do Virustotal dizem que a variante falsa do HWiNFO é um malware infostealer.
BleepingComputer entrou em contato com CPUID para saber mais sobre o que aconteceu, a data do comprometimento, as versões afetadas e o que os usuários afetados devem fazer. Um porta-voz forneceu a seguinte declaração.
“As investigações ainda estão em andamento, mas parece que um recurso secundário (basicamente uma API secundária) foi comprometido por aproximadamente seis horas entre 9 e 10 de abril, fazendo com que o site principal exibisse aleatoriamente links maliciosos (nossos arquivos originais assinados não foram comprometidos). -CPUID
A mesma pessoa nos contou que os hackers os atacaram no momento em que o desenvolvedor principal estava de férias.
Atualmente, parece que o CPUID corrigiu o problema e agora oferece versões limpas para CPU-Z e HWMonitor.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
#samirnews #samir #news #boletimtec #ataque #à #cadeia #de #suprimentos #em #cpuid #empurra #malware #com #cpuz/hwmonitor
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário