В начале апреля официальный сайт CPUID (cpuid[.]com), на котором размещаются популярные утилиты для мониторинга аппаратного обеспечения CPU-Z, HWMonitor, HWMonitor Pro и PerfMonitor, был кратковременно скомпрометирован неизвестными злоумышленниками. На протяжении менее чем суток пользователям подсовывались поддельные установщики, содержащие троян удаленного доступа STX RAT.
Компрометация сайта CPUID и подмена загрузок CPU-Z
По данным вендора и исследователей, инцидент продолжался примерно с 9 апреля 15:00 UTC до 10 апреля 10:00 UTC. В этот период официальные ссылки загрузки CPU-Z и HWMonitor на сайте CPUID перенаправляли пользователей не на легитимные файлы, а на сторонние вредоносные ресурсы, где распространялись троянизированные инсталляторы.
Представители CPUID в посте в X (бывший Twitter) подтвердили факт взлома и связали его с компрометацией «вторичного функционала» – вспомогательного API. Ошибка в этом компоненте приводила к тому, что основной сайт случайным образом подставлял вредоносные ссылки. При этом оригинальные подписанные файлы разработчика, распространяемые через другие механизмы, не были изменены.
Как работала атака: троянизированные установщики и DLL side-loading
По информации «Лаборатории Касперского», злоумышленники распространяли поддельные версии CPU-Z и HWMonitor как в виде ZIP-архивов, так и как самостоятельные EXE-установщики. Внутри находился законный подписанный исполняемый файл соответствующего продукта и дополнительная библиотека с именем CRYPTBASE.dll.
Подмена системной библиотеки с таким именем позволяет использовать технику DLL side-loading: легитимное приложение при запуске загружает не настоящую системную DLL, а подложную, размещённую рядом с EXE. Это дает злоумышленникам возможность выполнить произвольный код под видом доверенного процесса, усложняя обнаружение угрозы антивирусами и системами мониторинга.
Вредоносная библиотека перед запуском основной нагрузки выполняет ряд анти-песочничных проверок, пытаясь определить, работает ли она в среде анализа (sandbox). Лишь после этого она устанавливает соединение с внешним командно‑контрольным (C2) сервером и загружает дополнительные модули, конечная цель которых – развертывание STX RAT на устройстве жертвы.
STX RAT: удаленный доступ, HVNC и широкие возможности постэксплуатации
Опубликованный eSentire анализ описывает STX RAT как многофункциональный троян удаленного доступа, сочетающий возможности классического RAT и инфостилера. Среди его функций – HVNC (Hidden VNC), позволяющий невидимо для пользователя управлять рабочим столом, а также кража учетных данных, файлов и другой конфиденциальной информации.
STX RAT поддерживает широкий набор команд для дистанционного администрирования и постэксплуатации: бесфайловый запуск EXE/DLL/PowerShell и shellcode в памяти, создание обратных прокси и туннелей, интерактивное управление рабочим столом. Такой набор возможностей делает его удобным инструментом для дальнейшего развития атаки – от разведки в сети до развертывания дополнительного вредоносного ПО.
Повторное использование инфраструктуры и связь с троянизированными FileZilla
Исследователи отметили, что в этой кампании использовались те же адреса C2‑серверов и конфигурации соединения, что и в более ранних атаках, связанных с поддельными установщиками FileZilla. Тогда фальшивые дистрибутивы размещались на фишинговых сайтах и также устанавливали STX RAT – эта активность ранее была подробно описана Malwarebytes.
По оценке «Лаборатории Касперского», повторное использование одной и той же цепочки заражения и одних и тех же доменов C2 стало «самой серьезной ошибкой» злоумышленников. Низкий уровень операционной безопасности и разработки вредоносного ПО позволил исследователям достаточно быстро выявить компрометацию и локализовать водопойную атаку на сайт CPUID.
Масштаб инцидента и пострадавшие страны
«Лаборатория Касперского» сообщила об идентификации более 150 пострадавших систем. Большинство жертв – частные пользователи, однако под удар также попали организации из сфер розничной торговли, производства, консалтинга, телекоммуникаций и сельского хозяйства.
География заражений в основном включает Бразилию, Россию и Китай. При этом реальное число пострадавших может быть выше, с учетом кратковременности инцидента и специфики обнаружения подобных атак – многие пользователи не отслеживают целостность загрузок и не проверяют цифровые подписи файлов.
Риски для пользователей и рекомендации по защите
Подобные компрометации официальных сайтов и цепочки поставок ПО опасны тем, что подрывают базовый уровень доверия. Пользователь, скачивающий CPU-Z или HWMonitor с «официального» домена, редко сомневается в подлинности файла. Водопойные атаки и троянизированные дистрибутивы становятся все более популярным вектором для распространения RAT и инфостилеров.
Чтобы снизить риски заражения через вредоносные установщики, рекомендуется:
- скачивать ПО только с официальных сайтов и проверенных зеркал, избегая сторонних каталогов и форумов;
- проверять цифровую подпись скачанных файлов и, по возможности, сверять контрольные суммы (SHA‑256, SHA‑1, MD5), опубликованные разработчиком;
- использовать современные решения защиты с анализом поведения (EDR/NGAV), способные обнаруживать DLL side-loading и аномальные сетевые соединения;
- ограничивать права пользователя и запускать новые утилиты не от имени администратора без необходимости;
- регулярно обновлять ОС и ПО безопасности, включая средства контроля запуска приложений.
Случай с компрометацией CPUID показывает, что даже хорошо известные и уважаемые ресурсы могут быть использованы злоумышленниками как плацдарм для распространения вредоносного кода. Внимательное отношение к источникам ПО, проверка подписи и контроль поведения приложений становятся обязательными элементами базовой цифровой гигиены. И пользователям, и организациям имеет смысл пересмотреть свои процессы загрузки и установки бесплатных утилит, усилив мониторинг и обучение сотрудников в области кибербезопасности.
