Kompanija CPUID, poznata po alatima za dijagnostiku hardvera, potvrdila je da je njen zvanični sajt bio meta hakerskog napada. Milioni korisnika programa poput CPU-Z i HWMonitor-a koji su preuzimali softver u određenom periodu, mogli su umjesto legitimnih fajlova dobiti zlonamerni kod.

Šta se tačno dogodilo?

Prema analizi tima Kaspersky GReAT, napad je trajao 19 sati, od 9. aprila u 16:00 do 10. aprila u 11:00. Tokom tog vremena, zlonamjerni linkovi na zvaničnom sajtu CPUID-a preusmjeravali su korisnike na modifikovane instalacione pakete. Umjesto originalnih programa, preuzimali se fajlovi zaraženi sa STX RAT malverom, koji omogućava napadačima potpuni daljinski pristup računaru i krađu osjetljivih podataka.

Napad je pogodio četiri popularna proizvoda: CPU-Z 2.19, HWMonitor 1.63, HWMonitor Pro 1.57 i PerfMonitor 2.04. Hakeri su koristili taktiku “supply chain” napada, ubacivši zlonamjernu biblioteku pod nazivom CRYPTBASE.dll u legitimne instalacione pakete.

Kako da provjerite da li ste ugroženi i šta da radite?

Eksperti iz Kasperskyja daju sljedeće preporuke za sve koji su preuzimali softver CPUID u navedenom periodu:

Provjerite sistemske fajlove: Potražite fajl CRYPTBASE.dll unutar foldera gdje ste instalirali CPU-Z ili HWMonitor. Ako taj fajl nema digitalni sertifikat kompanije CPUID, vaš sistem je vjerovatno ugrožen.

Pokrenite kompletno skeniranje antivirusnim softverom. Većina ažuriranih antivirusnih rješenja već prepoznaje ovaj malver.

Za naprednije korisnike, preporučuje se provjera DNS logova za sumnjive konekcije ka nepoznatim domenima.

Istraživači su povezali ovaj incident sa sličnom kampanjom iz marta, kada su na isti način distribuirani lažni instalacioni paketi za FileZilla klijent. Ovo ukazuje na rad organizovane grupe koja cilja popularne besplatne alate sa milionima korisnika širom svijeta.