详细内容或原文请订阅后点击阅览
CPUID 站点被劫持以提供恶意软件而不是 HWMonitor 下载
六小时的违规行为将可信链接变成了合法工具和凭证窃取者之间的掷硬币游戏本周,攻击者劫持了 CPUID 网站的部分后端,将可信下载链接变成了一种传送机制,从而使 CPUID 网站的访问者短暂暴露于恶意软件。
来源:The Register _恶意软件本周,攻击者劫持了 CPUID 网站的部分后端,将受信任的下载链接转变为一种不太受欢迎的传送机制,之后访问者短暂暴露于恶意软件。
该问题影响了 HWMonitor 和 CPU-Z 等工具,Reddit 和其他地方的用户开始注意到,当安装程序触发防病毒警报或以奇怪的名称显示时,出现了问题。一个循环的例子是 HWMonitor 1.63 更新指向一个名为“HWiNFO_Monitor_Setup.exe”的文件,该文件不是任何人去那里下载的,并且有一个非常明显的迹象表明上游的某些内容已被篡改。
CPUID 此后确认了该漏洞,将其固定在受感染的后端组件上,而不是篡改其软件构建。
“调查仍在进行中,但似乎一个次要功能(基本上是侧 API)在 4 月 9 日至 4 月 10 日期间被破坏了大约六个小时,导致主网站随机显示恶意链接(我们签名的原始文件没有受到破坏),”该网站的一位所有者在 X 上的一篇帖子中表示。“该漏洞已被发现并已修复。”
文件本身似乎已被单独保留并保持正确签名,因此似乎没有人参与构建过程。相反,问题就在于如何提供下载服务。然而,对于任何在此期间访问该网站的人来说,这种区别并没有带来多少安慰。如果您单击的链接已被换出,则无论您是否意识到,您都会拉出它指向的任何内容。
vx-underground 分享的分析表明,恶意安装程序似乎以 64 位 HWMonitor 用户为目标,并包含一个旨在与合法 Windows 组件混合的虚假 CRYPTBASE.dll。然后,该 DLL 会联系命令和控制服务器来获取额外的有效负载。