Actores de amenazas desconocidos comprometieron CPUID (“cpuid(.)com”), un sitio web que aloja herramientas populares de monitoreo de hardware como CPU-Z, HWMonitor, HWMonitor Pro y PerfMonitor, durante menos de 24 horas para servir ejecutables maliciosos para el software e implementar un troyano de llegada remoto llamado STX RAT.
El incidente duró aproximadamente desde el 9 de abril a las 15:00 UTC hasta aproximadamente el 10 de abril a las 10:00 UTC, y las URL de descarga de los instaladores de CPU-Z y HWMonitor fueron reemplazadas por enlaces a sitios web maliciosos.
En una publicación compartida en X, CPUID confirmó la infracción, atribuyéndola a un compromiso de una “característica secundaria (básicamente una API secundaria)” que provocó que el sitio principal mostrara enlaces maliciosos aleatoriamente. Vale la pena señalar que el ataque no afectó a sus archivos originales firmados.
Según Kaspersky, los nombres de los sitios web fraudulentos son los siguientes:
- lightilmukreatif.web(.)identificación
- pub-45c2577dbd174292a02137c18e7b1b5a.r2(.)desarrollador
- transitopalermo(.)com
- vatrobrano(.)hora
“El software troyanizado se distribuyó como archivos ZIP y como instaladores independientes para los productos antaño mencionados”, afirmó la empresa rusa de ciberseguridad. “Estos archivos contienen un ejecutable verdadero firmado para el producto correspondiente y una DLL maliciosa, que se denomina ‘CRYPTBASE.dll’ para beneficiarse la técnica de carga supletorio de DLL”.
La DLL maliciosa, por su parte, se pone en contacto con un servidor foráneo y ejecuta cargas aperos adicionales, no sin antaño realizar comprobaciones anti-sandbox para evitar la detección. El objetivo final de la campaña es implementar STX RAT, una RAT con HVNC y amplias capacidades de robo de información.
STX RAT “expone un amplio conjunto de comandos para control remoto, ejecución de carga útil de seguimiento y acciones posteriores a la explotación (por ejemplo, ejecución en memoria de EXE/DLL/PowerShell/shellcode, proxy inverso/tunelización, interacción de escritorio)”, dijo eSentire en un exploración del malware la semana pasada.
La dirección del servidor de comando y control (C2) y la configuración de la conexión se reutilizaron de una campaña susodicho que aprovechó los instaladores troyanizados de FileZilla alojados en sitios falsos para implementar el mismo malware RAT. La actividad fue documentada por Malwarebytes a principios del mes pasado.
Kaspersky dijo que ha identificado a más de 150 víctimas, en su mayoría personas afectadas por el incidente. Sin retención, las organizaciones de comercio minorista, manufactura, consultoría, telecomunicaciones y agricultura además se han trillado afectadas. La mayoría de los contagios se localizan en Brasil, Rusia y China.
“El error más importante que cometieron los atacantes fue reutilizar la misma prisión de infección que involucra STX RAT y los mismos nombres de dominio para la comunicación C2 del ataque susodicho relacionado con instaladores falsos de FileZilla”, dijo Kaspersky. “Las capacidades generales de explicación/implementación de malware y seguridad operativa del actor de amenazas detrás de este ataque son proporcionado bajas, lo que, a su vez, hizo posible detectar el ataque tan pronto como comenzó”.
