Κακόβουλος Κωδικός εντοπίστηκε σε Διάσημα Λογισμικά: Ο Κίνδυνος για τους Χρήστες
Μια ανησυχητική περιστατικότητα συνέβη πρόσφατα που αφορά δύο από τα πιο δημοφιλή εργαλεία υπολογιστών – τα CPU-Z και HWMonitor, που αναπτύσσονται από την CPUID. Οι χάκερ κατάφεραν να αποκτήσουν πρόσβαση σε ένα API του έργου και να αλλοιώσουν τους συνδέσμους λήψης στον επίσημο ιστότοπο, οδηγώντας έτσι σε παραμονεύουσες απειλές πέρα από το καθαρό λογισμικό. Αυτή η παραβίαση είναι ιδιαίτερα ανησυχητική, καθότι αφορά εργαλεία που χρησιμοποιούνται καθημερινά από εκατομμύρια χρήστες κατ’αυτή την στιγμή, για την παρακολούθηση της φυσικής κατάστασης του εσωτερικού υλικού των υπολογιστών τους, αλλά και για λεπτομερείς προδιαγραφές συστημάτων.
Με τη βοήθεια του Reddit, οι χρήστες ενημέρωσαν πρόσφατα ότι οι επίσημες εκδόσεις των προγραμμάτων λήψης είχαν ανακατευθυνθεί στην υπηρεσία αποθήκευσης Cloudflare R2, εκκινώντας από κει μια τροποποιημένη έκδοση του HWiNFO, ενός άλλου διαγνωστικού εργαλείου.
Η Φυσιολογία του Κακόβουλου Λογισμικού
Ο κακόβουλος κώδικας, γνωστός ως HWiNFO_Monitor_Setup, ενεργοποιεί έναν ρωσικό εγκαταστάτη που είναι σοβαρά υποψήφιος και χρήζει προσοχής. Η εκτέλεση αυτού του αρχείου μπορεί να ανοίξει τις πύλες σε διάφορες απειλές για την ασφάλεια των δεδομένων του χρήστη. Πολλές αναφορές υποδεικνύουν ότι ενώ οι εξελιγμένες εκδόσεις του HWMonitor είναι διαθέσιμες μέσω άμεσων διευθύνσεων, οι κακόβουλοι σύνδεσμοι έχουν δηλητηριαστεί.
Αυτή η παραβίαση επιβεβαιώνεται επίσης από Igor’s Labs και την ομάδα @vxunderground, η οποία ανέφερε ότι οι μηχανισμοί που χρησιμοποιούνται εδώ είναι αρκετά προχωρημένοι. Συγκεκριμένα, ο επιτιθέμενος υιοθετεί γνωστές τεχνικές και τακτικές (TTP) για να κρύψει την κακόβουλη δραστηριότητά του.
Όπως δήλωσε ο vxunderground σε σχετική ανάρτηση: “Αυτό το κακόβουλο λογισμικό είναι βαθιά trojanized, διανέμεται από έναν παραβιασμένο τομέα, εκτελεί μεταμφιέσεις αρχείων, και χρησιμοποιεί πολλαπλά στάδια.” Τα στοιχεία ότι λειτουργεί σχεδόν αποκλειστικά στη μνήμη του υπολογιστή καθιστούν εξαιρετικά δύσκολη την ανίχνευση και την αντιμετώπισή του από παραδοσιακά συστήματα προστασίας.
Η Στρατηγική των Χάκερ
Ο συγκεκριμένος ερευνητής πιστεύει ότι η ίδια ομάδα απειλών είχε στοχοποιήσει πρόσφατα χρήστες του FileZilla FTP, επιβεβαιώνοντας πως οι επιθέσεις στοχεύουν ευρέως χρησιμοποιούμενα εργαλεία. Το ληφθέν ZIP αρχείο έχει εντοπιστεί από 20 μηχανές προστασίας από ιούς στο VirusTotal, αν και δεν αναγνωρίζεται ακριβώς, με κάποιες αναφορές να το χαρακτηρίζουν ως Trojan Tedy και άλλες ως Artemis Trojan. Επίσης, αναλύσεις στο Virustotal προτείνουν ότι η παραποιημένη έκδοση του HWiNFO ίσως λειτουργεί ως κακόβουλο λογισμικό κλοπής πληροφοριών.
Αντίκτυπος και Αντιδράσεις
Η BleepingComputer επικοινώνησε με την CPUID για περισσότερες πληροφορίες σχετικά με την παραβίαση. Στην απάντησή τους, ο εκπρόσωπος δήλωσε:
“Οι έρευνες συνεχίζονται, αλλά φαίνεται ότι το χαρακτηριστικό που παραβιάστηκε είναι ένα δευτερεύον API, που είχε εκτεθεί για περίπου έξι ώρες μεταξύ 9 και 10 Απριλίου. Ο κύριος ιστότοπος μπορούσε να εμφανίζει τυχαία κακόβουλους συνδέσμους, ενώ τα υπογεγραμμένα αρχικά αρχεία παραμένουν ασφαλή. Η παραβίαση έχει εντοπιστεί και διορθωθεί.” – CPUID
Προς το παρόν, οι αναφορές δείχνουν ότι η CPUID έχει αποκαταστήσει την αξιοπιστία της, εξυπηρετώντας καθαρές εκδόσεις τόσο για το CPU-Z όσο και για το HWMonitor.
Η αυτοματοποιημένη διενέργεια δοκιμής αποδεικνύει ότι η διαδρομή υπάρχει. Το BAS αποδεικνύει εάν τα χειριστήρια σας το σταματούν. Η πιο πολλές ομάδες τρέχουν η μία χωρίς την άλλη.
Αυτή η λευκή βίβλος χαρτογραφεί έξι επιφάνειες επικύρωσης, δείχνει πού τελειώνει η κάλυψη και παρέχει στους επαγγελματίες τρεις διαγνωστικές ερωτήσεις για οποιαδήποτε αξιολόγηση εργαλείου.
