详细内容或原文请订阅后点击阅览
CPUID 水坑攻击传播 STX RAT 恶意软件
威胁参与者破坏了 CPUID 网站,并通过虚假的 CPU-Z 和 HWMonitor 下载传播 STX RAT。攻击者破坏了网站 CPUID,并用恶意文件替换了 CPU-Z 和 HWMonitor 的下载链接,持续了几个小时。下载它们的用户感染了 STX RAT,攻击者可以远程访问他们的系统。短攻击 [...]
来源:Security Affairs _恶意软件CPUID 水坑攻击传播 STX RAT 恶意软件
威胁参与者破坏了 CPUID 网站,并通过虚假的 CPU-Z 和 HWMonitor 下载传播 STX RAT。
攻击者破坏了网站 CPUID,并用恶意文件替换了 CPU-Z 和 HWMonitor 的下载链接,持续了几个小时。下载它们的用户感染了 STX RAT,攻击者可以远程访问他们的系统。较短的攻击窗口仍然使许多用户面临妥协。
调查显示,攻击者破坏了辅助 API 约六个小时,导致网站显示恶意链接。该网站的维护人员确认原始签名文件仍然安全,并且该问题已得到解决。
卡巴斯基报告称,2026 年 4 月 9 日,CPUID 网站遭到入侵,CPU-Z 和 HWMonitor 等工具的下载链接被重定向到恶意域长达数小时。攻击者利用这些网站分发受感染的安装程序,卡巴斯基发布了相关的妥协指标。
“我们观察到,从世界标准时间 4 月 9 日 15:00 左右开始,到世界标准时间 4 月 10 日 10:00 左右,该软件安装程序的合法下载 URL 已被替换”,卡巴斯基表示。 “带有以下恶意网站的 URL:
卡巴斯基发现攻击者使用 DLL 侧载分发带有恶意 DLL(“CRYPTBASE.dll”)的木马 CPU-Z 和 HWMonitor 安装程序。该 DLL 处理 C2 通信、反沙箱检查和有效负载传输,重用之前伪造的 FileZilla 活动的基础设施。
卡巴斯基专家建议检查 DNS 日志和系统是否有感染迹象。
在 Twitter 上关注我:@securityaffairs 以及 Facebook 和 Mastodon
皮尔路易吉·帕格尼尼
(安全事务 - 黑客、CPUID)