Обновили CPU-Z с официального сайта? Ваши пароли могли уйти хакерам
В ночь с 9 на 10 апреля злоумышленники получили контроль над дополнительным API на официальном сайте разработчика утилит CPU-Z и HWMonitor. В результате в течение примерно шести часов часть посетителей вместо легитимных установщиков получала заражённые файлы, которые антивирусы идентифицируют как троянов для кражи данных.
Проблему заметили пользователи, которые попытались обновить HWMonitor до версии 1.63 и вместо обычного файла с сайта скачивался установщик с именем HWiNFO_Monitor_Setup.exe — название, которое не используется разработчиком. Встроенный защитник Windows сразу помечал его как вредоносный и на VirusTotal файл распознала как троян минимум 32 антивирусные компании. Сотрудник CPUID объяснил, что скомпрометирована была не основная инфраструктура, а «второстепенная функция — по сути, сторонний API» из-за этого на главном сайте cpuid.com случайным образом вместо нормальных ссылок на скачивание отображались вредоносные. Ранее был обнаружен первый вирус ИИ, который заражает Android-смартфоны.
Уязвимость обнаружили в течение шести часов и закрыли, но точное число пользователей, которые успели скачать заражённые установщики, пока неизвестно. В момент пика активности сайт CPUID временно стал недоступен, но сейчас работает штатно. Аналитики из vx-underground изучили вредоносную нагрузку и пришли к выводу, что её автор уделил внимание обходу защиты. Вирус работает почти исключительно в памяти, пытается обнаружить эмуляцию и затруднить обратную разработку, а для загрузки следующих стадий используется PowerShell.
Основная цель, по данным аналитиков, — кража учётных данных из браузеров: сохранённых паролей, файлов cookie и, вероятно, данных криптокошельков, а сам вирус маскирует один из своих компонентов под легитимную
