Французька компанія CPUID підтвердила злам свого офіційного сайту, через яку користувачі популярних утиліт CPU-Z і HWMonitor могли завантажити шкідливе програмне забезпечення. Інцидент тривав кілька годин і вже усунений, однак наслідки можуть торкнутися значної кількості користувачів. Про це повідомляє Cybernews.
Як зловмисники поширювали шкідливе ПЗ
За офіційною інформацією CPUID, зловмисники скомпрометували допоміжний API сайту, внаслідок чого протягом приблизно шести годин користувачі могли отримувати шкідливі посилання та завантажувати заражені інсталятори через офіційний ресурс, зокрема під час оновлення CPU-Z і HWMonitor, хоча оригінальні підписані файли компанії не були змінені, а саму вразливість уже усунено.
За даними аналітиків, зловмисники розповсюджували багаторівневий троян, який працює переважно в оперативній пам’яті та намагається уникати виявлення: шкідливе ПЗ маскується під системні файли, використовує PowerShell для завантаження додаткових компонентів і встановлює зв’язок із сервером керування через вбудовані адреси, при цьому основною метою атаки є викрадення даних користувачів; сервіси на кшталт VirusTotal підтвердили загрозу, класифікувавши файли як троян за результатами перевірок десятків антивірусних систем.
