CPU-Z y HWMonitor fueron usados para distribuir malware tras un hackeo

 (theregister.com)
3 puntos por GN⁺ 19 일 전 | 1 comentarios | Compartir por WhatsApp
  • Los enlaces de descarga de las populares utilidades del sistema HWMonitor y CPU-Z fueron alterados temporalmente para distribuir malware
  • Los atacantes tomaron control de parte del backend del sitio web de CPUID y entregaron archivos maliciosos al azar en lugar de los instaladores legítimos
  • La versión maliciosa incluía una CRYPTBASE.dll falsa que se comunicaba con un servidor de comando y control, e inyectaba una carga útil .NET ejecutada en memoria mediante PowerShell
  • CPUID reconoció la intrusión y anunció que la corrigió en 6 horas; también afirmó que los archivos originales firmados no fueron comprometidos
  • Este incidente se considera una extensión de los ataques a la cadena de suministro, y muestra que se puede causar daño solo a través de la ruta de distribución, sin modificar el código

El hackeo del sitio web de CPUID reemplazó con malware la descarga de HWMonitor

  • El sitio web de CPUID fue hackeado temporalmente y los enlaces de descarga de HWMonitor y CPU-Z fueron modificados para servir como vía de distribución de malware
    • Los atacantes tomaron control de parte del backend y reemplazaron aleatoriamente los enlaces legítimos por archivos maliciosos
    • Algunos usuarios reportaron que el instalador activaba alertas del antivirus o aparecía con nombres de archivo anómalos
  • Se confirmó un caso en el que el enlace de actualización de HWMonitor 1.63 apuntaba al archivo incorrecto “HWiNFO_Monitor_Setup.exe”, lo que hace sospechar de una alteración en una etapa previa
    • En comunidades como Reddit, varios usuarios detectaron el problema y compartieron advertencias
  • CPUID reconoció oficialmente después la intrusión y explicó que no fue comprometida la compilación del software en sí, sino una API auxiliar (componente del backend) durante unas 6 horas
    • El incidente ocurrió entre el 9 y el 10 de abril y ya fue corregido
    • También aclaró que los archivos originales firmados no fueron dañados
  • El instalador malicioso apuntaba a usuarios de HWMonitor de 64 bits e incluía una CRYPTBASE.dll falsa con apariencia de componente de Windows
    • Esa DLL se conectaba a un servidor de comando y control (C2) para descargar cargas útiles adicionales
    • Para no dejar rastros en disco, el malware usaba PowerShell para ejecutarse en memoria, compilaba una carga útil .NET en el sistema de la víctima y luego la inyectaba en otros procesos
    • También se observó acceso a credenciales almacenadas del navegador mediante la interfaz COM Chrome IElevation
  • El análisis mostró que este ataque utilizó la misma infraestructura que una campaña previa dirigida a usuarios de FileZilla
    • Según el análisis de vx-underground, hay indicios de que el mismo grupo atacante abusó de múltiples redes de distribución de software
  • Aunque CPUID aseguró que el problema fue resuelto, todavía no se han revelado la vía de acceso a la API ni la cantidad de usuarios infectados
    • El incidente se considera un caso que demuestra que los atacantes pueden causar daño solo a través de la ruta de distribución, incluso sin modificar el código en sí

Lecturas relacionadas

1 comentarios

 
GN⁺ 19 일 전
Opiniones de Hacker News

  • Sam, mantenedor de CPU-Z, explicó personalmente la situación. Mientras Franck está ausente, está revisando los servidores y confirmó, según el enlace de VirusTotal, que los archivos del servidor están limpios. Sin embargo, parte de los enlaces fue alterada para apuntar a un instalador malicioso, y estuvo expuesto durante unas 6 horas (09/04~10/04 GMT). Ahora restauraron los enlaces y pusieron el sitio en modo de solo lectura para seguir investigando

    • Como alguien que escribió reseñas de CPU en el pasado, puedo dar fe de que tanto Sam como Franck son personas confiables. Franck es una figura clave de CPUID y Sam también es conocido por Canard PC y el proyecto Memtest
    • Menos mal que detectaron rápido el problema y corrigieron los enlaces. De hecho, al principio pensé que el problema eran los banners publicitarios de cpuid.com. La página de descargas tiene demasiados botones falsos como “Download Now” e “Install for Windows 10/11”. Por eso en estos casos prefiero el comando winget install CPUID.CPU-Z
    • En las últimas semanas, ya es la tercera vez que veo casos en Discord u otros chats donde se abusan las alertas de disponibilidad para hacer ataques de timing
    • Me da curiosidad cómo se llevó a cabo exactamente este ataque

  • Hay un caso de alguien a quien Windows Defender le detectó el virus inmediatamente después de descargarlo, pero lo ignoró porque suele dar muchos falsos positivos. Este tipo de falsos positivos tiene el efecto secundario de adormecer la atención frente a la seguridad

    • Creo que Microsoft también tiene parte de responsabilidad. Defender bloquea archivos crackeados con motivos como “Win32/Keygen”, y eso termina creando en los usuarios el hábito de desactivar el antivirus. Al final, también deja pasar malware real
    • Este problema podría mitigarse mediante distribución basada en código fuente o compilaciones reproducibles (reproducible builds)
    • Para evitar situaciones así, hace falta una tienda de apps de Windows o un gestor de paquetes confiable

  • Se burlan llamando “escudo humano” a quienes instalan de inmediato las nuevas versiones de software

    • Pero CPU-Z y HWMonitor suelen usarse apenas se arma o se instala una PC nueva para revisar el hardware. No es como probar actualizaciones experimentales de paquetes npm; simplemente se descarga la versión más reciente
    • Estaría bueno contar con herramientas que le indiquen al usuario la reputación de seguridad del software, ya que Crowdstrike o las herramientas SAST solo detectan después de la instalación
    • Pero tampoco hay garantía de que una versión de hace un mes sea segura. Un atacante podría empezar la actividad maliciosa recién varios meses después

  • Lo afectado esta vez fue HWMonitor; la página oficial y HWInfo son programas distintos. El mismo tema también se está discutiendo en Reddit

  • El instalador en sí estaba limpio, pero los enlaces del sitio fueron alterados para apuntar a un ejecutable malicioso alojado en Cloudflare R2. Se espera un análisis posterior sobre la causa raíz

    • Más que un ataque a la cadena de suministro, esto se parece a un ataque de watering hole. Si eres desarrollador, usar gestores de paquetes como winget o chocolatey es más seguro

  • Para los usuarios de Windows, instalar con winget resulta relativamente ventajoso. Se hace verificación de firmas en el manifiesto oficial, y es posible instalar de forma segura con winget install --exact --id CPUID.CPU-Z

    • Pero WinGet no es una protección completa. El proceso de verificación es superficial y, si el origen ya está comprometido, una actualización maliciosa podría pasar igual. En la práctica, es como una versión CLI de MajorGeeks
    • Solo con la verificación SHA del manifiesto es difícil evitar manipulaciones. Me pregunto cómo funciona exactamente la validación de firmas
    • Aun así, Winget va mejorando. Por ejemplo, cuando el enlace del sitio oficial de ImageMagick estaba roto, con Winget sí se podía descargar normalmente
    • Gracias a los gestores de paquetes, también se pudo reducir el daño en el reciente caso de secuestro de Notepad++. Si un desarrollador distribuye por su cuenta, tiene que prestar atención a la seguridad de la infraestructura, como la gestión de PKI y la separación de claves de firma

  • Preocupa si las versiones instaladas mediante Winget (v1.63, v2.19) son seguras. Se está revisando el manifiesto en GitHub y el enlace de Winstall

  • Parece que el mismo grupo que atacó a FileZilla el mes pasado también estuvo involucrado esta vez. En esta ocasión, en lugar de usar un dominio falso, hackearon la capa de API del sitio oficial para hacer que el sitio legítimo distribuyera archivos maliciosos

  • Los detalles técnicos adicionales están recopilados en la publicación de vx-underground

  • Este ataque fue un intento sofisticado dirigido a utilidades en las que confían los usuarios técnicos, donde la principal superficie de ataque no fue el binario en sí, sino la capa de API que genera los enlaces de descarga