Actores de amenazas desconocidos comprometieron CPUID (“cpuid(.)com”), un sitio web que aloja herramientas populares de monitoreo de hardware como CPU-Z, HWMonitor, HWMonitor Pro y PerfMonitor, durante menos de 24 horas para servir ejecutables maliciosos para el software e implementar un troyano de acceso remoto llamado STX RAT.
El incidente duró aproximadamente desde el 9 de abril a las 15:00 UTC hasta aproximadamente el 10 de abril a las 10:00 UTC, y las URL de descarga de los instaladores de CPU-Z y HWMonitor fueron reemplazadas por enlaces a sitios web maliciosos.
En una publicación compartida en X, CPUID confirmó la infracción, atribuyéndola a un compromiso de una “característica secundaria (básicamente una API secundaria)” que provocó que el sitio principal mostrara enlaces maliciosos aleatoriamente. Vale la pena señalar que el ataque no afectó a sus archivos originales firmados.
Según Kaspersky, los nombres de los sitios web fraudulentos son los siguientes:
- lightilmukreatif.web(.)identificación
- pub-45c2577dbd174292a02137c18e7b1b5a.r2(.)desarrollador
- transitopalermo(.)com
- vatrobrano(.)hora
“El software troyanizado se distribuyó como archivos ZIP y como instaladores independientes para los productos antes mencionados”, afirmó la empresa rusa de ciberseguridad. “Estos archivos contienen un ejecutable legítimo firmado para el producto correspondiente y una DLL maliciosa, que se denomina ‘CRYPTBASE.dll’ para aprovechar la técnica de carga lateral de DLL”.
La DLL maliciosa, por su parte, se pone en contacto con un servidor externo y ejecuta cargas útiles adicionales, no sin antes realizar comprobaciones anti-sandbox para evitar la detección. El objetivo final de la campaña es implementar STX RAT, una RAT con HVNC y amplias capacidades de robo de información.
STX RAT “expone un amplio conjunto de comandos para control remoto, ejecución de carga útil de seguimiento y acciones posteriores a la explotación (por ejemplo, ejecución en memoria de EXE/DLL/PowerShell/shellcode, proxy inverso/tunelización, interacción de escritorio)”, dijo eSentire en un análisis del malware la semana pasada.
La dirección del servidor de comando y control (C2) y la configuración de la conexión se reutilizaron de una campaña anterior que aprovechó los instaladores troyanizados de FileZilla alojados en sitios falsos para implementar el mismo malware RAT. La actividad fue documentada por Malwarebytes a principios del mes pasado.
Kaspersky dijo que ha identificado a más de 150 víctimas, en su mayoría personas afectadas por el incidente. Sin embargo, las organizaciones de comercio minorista, manufactura, consultoría, telecomunicaciones y agricultura también se han visto afectadas. La mayoría de los contagios se localizan en Brasil, Rusia y China.
“El error más grave que cometieron los atacantes fue reutilizar la misma cadena de infección que involucra STX RAT y los mismos nombres de dominio para la comunicación C2 del ataque anterior relacionado con instaladores falsos de FileZilla”, dijo Kaspersky. “Las capacidades generales de desarrollo/implementación de malware y seguridad operativa del actor de amenazas detrás de este ataque son bastante bajas, lo que, a su vez, hizo posible detectar el ataque tan pronto como comenzó”.
