Der offizielle Download von CPU-Z und HWMonitor auf der Website von CPUID wurde Anfang April 2024 kurzzeitig zum Einfallstor für Schadsoftware. Angreifer manipulierten die Download-Links und schmuggelten den Remote-Access-Trojaner STX RAT in trojanisierte Installer ein. Der Vorfall zeigt exemplarisch, wie gefährlich kompromittierte Herstellerseiten und Software-Lieferketten für Endnutzer und Unternehmen geworden sind.
Angriffszeitraum und technische Ursache der CPUID-Kompromittierung
Nach Angaben von CPUID sowie Analysen mehrerer Sicherheitsanbieter dauerte der Zwischenfall von etwa 9. April, 15:00 UTC, bis 10. April, 10:00 UTC. In diesem Zeitraum leiteten die offiziellen Download-Links für CPU-Z und HWMonitor auf cpuid[.]com zeitweise nicht auf die legitimen Dateien, sondern auf externe, von Angreifern kontrollierte Ressourcen um.
CPUID führte den Vorfall auf eine Kompromittierung eines sekundären API-Systems zurück. Eine Schwachstelle in diesem Hilfsdienst erlaubte es, dass der Hauptauftritt sporadisch manipulierte Download-URLs auslieferte. Wichtig ist: Die originalen, digital signierten Installationspakete des Herstellers, die über andere Kanäle verteilt werden, blieben nach derzeitigem Kenntnisstand unverändert.
Trojanisierte Installer und DLL Side-Loading als Kern der Angriffskette
Laut Analysen von Sicherheitsforschern – unter anderem von Kaspersky – wurden gefälschte Versionen von CPU-Z und HWMonitor sowohl als ZIP-Archive als auch als eigenständige EXE-Installer verbreitet. In diesen Paketen befand sich ein legitimer, signierter Programmcode des jeweiligen Tools sowie zusätzlich eine Datei mit dem Namen CRYPTBASE.dll.
Diese Namenswahl ist entscheidend: Unter Windows existiert eine gleichnamige Systembibliothek. Platzieren Angreifer eine manipulierte CRYPTBASE.dll im selben Verzeichnis wie eine vertrauenswürdige EXE, kann das Programm beim Start diese manipulierte Bibliothek laden – eine Technik, die als DLL Side-Loading bezeichnet wird. Dadurch wird schädlicher Code im Kontext eines legitimen Prozesses ausgeführt, was die Erkennung durch klassische Signatur-Scanner erheblich erschwert.
Die schädliche DLL führte zunächst mehrere Anti-Sandbox-Checks durch, um Analyseumgebungen und virtuelle Maschinen zu erkennen. Erst wenn diese Prüfungen bestanden waren, stellte sie eine Verbindung zu einem externen Command-and-Control-(C2)-Server her, lud weitere Module nach und bereitete die Installation von STX RAT auf dem System vor.
STX RAT: Remote-Access-Trojaner, HVNC und Post-Exploitation
In einem veröffentlichten Bericht beschreibt eSentire STX RAT als einen vielseitigen Remote-Access-Trojaner, der Funktionen eines klassischen RAT mit denen eines Infostealers kombiniert. Zu den Fähigkeiten gehören unter anderem HVNC (Hidden VNC), also die verdeckte Fernsteuerung des Desktops, das Ausspähen von Zugangsdaten, das Stehlen von Dateien sowie der Zugriff auf weitere vertrauliche Informationen.
Darüber hinaus unterstützt STX RAT ein breites Set an Befehlen für Remote-Administration und Post-Exploitation. Dazu zählen das Datei-lose Ausführen von EXE-, DLL- und PowerShell-Code direkt im Speicher, das Einspielen von Shellcode, das Einrichten von Reverse-Proxys und Tunneln sowie interaktive Fernsteuerung der Benutzeroberfläche. Solche Funktionen machen STX RAT zu einem flexiblen Werkzeug, um kompromittierte Systeme langfristig zu kontrollieren, weitere Schadsoftware nachzuladen und sich lateral im Netzwerk auszubreiten.
Wiederverwendete C2-Infrastruktur und Bezug zu gefälschten FileZilla-Installern
Forscher stellten fest, dass in dieser Kampagne dieselben C2-Server-Adressen und Verbindungsprofile genutzt wurden wie in früheren Angriffen mit gefälschten FileZilla-Installern. Damals wurden manipulierte Installationsdateien auf Phishing-Websites bereitgestellt und verteilten ebenfalls STX RAT; diese Aktivitäten wurden beispielsweise von Malwarebytes detailliert beschrieben.
Die Wiederverwendung identischer Infrastruktur gilt aus Sicht der Incident-Response-Teams als schwerer operativer Fehler der Angreifer. Die so entstehende Korrelation zwischen Kampagnen erleichterte die forensische Analyse und trug dazu bei, die Wasserloch-Attacke auf die CPUID-Website schneller aufzudecken und einzudämmen.
Ausmaß des Vorfalls und geografische Verteilung
Nach Angaben von Kaspersky konnten bislang über 150 kompromittierte Systeme eindeutig identifiziert werden. Der Großteil der Betroffenen sind Privatnutzer, allerdings wurden auch Organisationen aus den Bereichen Einzelhandel, Fertigung, Beratung, Telekommunikation und Landwirtschaft erfasst.
Schwerpunkte der Infektionen lagen in Brasilien, Russland und China. Experten gehen davon aus, dass die tatsächliche Zahl der Opfer höher liegt. Gründe sind der relativ kurze Angriffszeitraum, eingeschränkte Erkennungsmöglichkeiten bei unauffälligem DLL Side-Loading sowie die Tatsache, dass viele Anwender heruntergeladene Dateien weder verifizieren noch digitale Signaturen überprüfen.
Risiken durch kompromittierte Downloads und Supply-Chain-Angriffe
Der Vorfall unterstreicht, dass selbst etablierte und vertrauenswürdige Websites als Plattform für die Verteilung von Malware missbraucht werden können. Wasserloch-Angriffe auf populäre Download-Portale und Software-Supply-Chain-Angriffe zählen laut verschiedenen Branchenberichten zu den am stärksten wachsenden Angriffsszenarien. Nutzer verlassen sich oft auf den „offiziellen“ Domainnamen und schenken Dateien dadurch ein hohes Grundvertrauen – ein Vorteil, den Angreifer gezielt ausnutzen.
Empfehlungen: So reduzieren Nutzer und Unternehmen ihr Risiko
Um das Risiko durch trojanisierte Installer und ähnliche Kampagnen zu senken, sollten grundlegende Sicherheitsmaßnahmen konsequent umgesetzt werden:
- Download-Quellen kritisch prüfen: Software ausschließlich von offiziellen Websites oder verifizierten Mirrors beziehen; inoffizielle Download-Portale und Foren möglichst meiden.
- Digitale Signaturen und Hashwerte verifizieren: Signaturdetails des Installers kontrollieren und, wenn verfügbar, veröffentlichte Prüfsummen (z. B. SHA‑256) mit eigenen Berechnungen abgleichen.
- Moderne Endpoint-Security einsetzen: Lösungen mit Verhaltensanalyse (EDR/NGAV) nutzen, die DLL Side-Loading, verdächtige Prozessketten und ungewöhnliche Netzwerkverbindungen erkennen können.
- Rechte minimieren: Neue Tools nicht standardmäßig mit Administratorrechten starten und Benutzerkonten nach dem Prinzip der geringsten Privilegien konfigurieren.
- Systeme und Sicherheitssoftware aktuell halten: Betriebssystem, Anwendungen und Schutzlösungen regelmäßig patchen, inklusive Applikationskontrolle und Exploit-Schutz.
- Monitoring und Logging stärken: DNS- und HTTPS-Verbindungen zu unbekannten Domains überwachen und Alarme für auffällige Muster definieren.
- Sensibilisierung der Anwender: Mitarbeiter im sicheren Umgang mit Freeware-Tools, Downloads und Signaturprüfungen schulen.
Der Angriff auf CPUID verdeutlicht, dass ein Download selbst von einer vermeintlich vertrauenswürdigen Quelle keine Garantie für Sicherheit darstellt. Wer im fraglichen Zeitraum CPU-Z oder HWMonitor bezogen hat, sollte seine Systeme mit aktueller Sicherheitssoftware prüfen, Logdateien kontrollieren und langfristig seine Prozesse rund um Softwarebeschaffung, Signaturprüfung und Endpoint-Monitoring schärfen. Konsequente digitale Hygiene und ein kritischer Blick auf jede ausführbare Datei sind heute unverzichtbare Bausteine wirksamer Cybersicherheit – für Privatanwender ebenso wie für Unternehmen.
