Nadšenci či pokročilejší uživatelé počítačů asi budou znát nástroje CPU-Z a případně HWMonitor, což je příbuzná utilita hostované na stejném webu CPUID.com. Pokud jste ale tento týden stáhli jejich nové verze nebo instalátory, mohli jste být infikováni malwarem. Web CPUID.com byl totiž napaden hackery, kteří ho po určitý čas používali k distribuci svého škodlivého kódu. Pokud jste ve čtvrtek nebo pátek tyto programy stáhli, můžete být obětí.
Web hostující CPU-Z a HWMonitor byl kompromitován útočníky
Napadení si všimli uživatelé, kterým začaly antivirové programy hlásit, že stažený instalátor HWMonitoru nebo CPU-Z je škodlivý software. Nešlo bohužel o klamný poplach, jak to někdy bývá, v tomto případě antimalwarové programy udělaly svou práci. Web CPUID.com byl totiž napaden a neznámým hackerům se povedl průnik, po kterém na web nakladli falešné odkazy, které návštěvníkům podvrhávaly infikované verze zmíněných programů obsahující škodlivý software (zřejmě v březnu odhalený STX Rat).
Ty by neměly mít obvyklý podpis, protože na této úrovni infrastruktura projektů kompromitována nebyla, ale pokud si uživatel změny či absence podpisu nevšiml, mohl program nainstalovat a velká část by si asi problému nevšimla.
Zdá se, že autory úroku byla stejná skupina, která v březnu kompromitovala FTP software Filezilla, pro šíření a ovládání malwaru totiž jsou použité stejné domény Detaily o malwaru, který byl do programů vpraven a jeho analýze najdete zde a dále pak. Zdá se, že jeho prvním cílem je pokud možno nedetekovaně ukrást přihlašovací údaje z prohlížeče (Google Chrome), ale je také možné, že všechny jeho nekalé cíle nebyly ještě zběžnou analýzou odhaleny. Až s určitým zpožděním bylo zjištěno, že rovněž do počítače instaluje zadní vrátka umožňující útočníkům vzdálený přístup do vašeho počítače.
Instalátor CPU-Z: Legitimní verze by měla být podepsaná vydavatelem CPUID
V tuto chvíli by již stahování těchto programů z webu CPUID.com mělo být bezpečné. Podle správce byl web kompromitován zhruba šest hodin mezi večerem 9. 4. a ránem 10. 4., ale není jasné, zda je to míněno v evropském čase a lepší asi bude se nespoléhat na úplně přesné časové zařazení. Podle analýzy byly infikované jak instalátory, tak archivy „portable“ verzí obou aplikací.
Hi, Investigations are still ongoing, but it appears that a secondary feature (basically a side API) was compromised for approximately six hours between April 9 and April 10, causing the main website to randomly display malicious links (our signed original files were not compromised). The breach was found and has since been fixed. Sorry for the inconvenience.
V případě, že jste měli smůlu a zrovna jste program stáhli (a tudíž pravděpodobně byli infikováni), budete asi potřebovat čistou instalaci či vyčištění Windows – zkuste, zda váš antivirový software infekci při scanu disku nenajde. Malware je pokročilý ve snaze ujít pozornosti, používá ke své činnosti upravenou knihovnu, která je za normálních okolností (v nepodvržené formě, samozřejmě) součástí Windows a většinu operací provádí v paměti, aby neponechával tolik stop v souborovém systému. Navíc se snaží trvale zůstat v systému.
Až budete mít systém čistý, musíte si ovšem také změnit hesla uložená v internetovém prohlížeči. Protože jakmile je jednou malware stihl poslat na servery útočníka, už vám odstranění infekce samo o sobě nepomůže proti jejich zneužití.
Zdroje: techPowerUp, Reddit, Doc TB, vx-underground (1, 2)
ČLÁNKY DO MAILU