Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
CPU‑Z e HWMonitor Compromessi: download trojanizzati diffondono STX RAT in meno di 24 ore
Un recente attacco informatico ha colpito CPUID, il sito che distribuisce strumenti molto diffusi per il monitoraggio hardware come CPU Z, HWMonitor, HWMonitor Pro e PerfMonitor. Per un periodo inferiore alle 24 ore i criminali hanno compromesso il processo di distribuzione dei download, sostituendo gli URL degli installer con collegamenti verso siti malevoli e diffondendo eseguibili trojanizzati.
Il risultato è stato l’impianto di un malware di tipo Remote Access Trojan chiamato STX RAT, progettato per offrire controllo remoto e capacità di furto dati.
Finestra temporale e modalità della compromissione
La finestra temporale dell’incidente è stata circoscritta tra il 9 aprile e il 10 aprile, quando i link di download di CPU Z e HWMonitor sono stati rimpiazzati da destinazioni esterne. CPUID ha confermato la violazione e ha indicato come causa la compromissione di una funzionalità secondaria, una sorta di API laterale, che ha portato il sito principale a mostrare in modo casuale link dannosi. Un elemento importante per la sicurezza è che i file originali firmati non sarebbero stati alterati, ma gli utenti potevano comunque scaricare pacchetti manipolati tramite i link sostituiti.
Distribuzione dei pacchetti trojanizzati e tecnica usata
Secondo le analisi, i pacchetti trojanizzati venivano distribuiti sia come archivi ZIP sia come installer singoli. La tecnica principale prevedeva la presenza di un eseguibile legittimo firmato insieme a una DLL malevola denominata CRYPTBASE.dll, sfruttando il DLL side loading. In pratica, il programma autentico carica la libreria dannosa, permettendo al codice malevolo di avviarsi senza destare sospetti immediati.
Comportamento della DLL e obiettivo finale
La DLL contatta un server remoto e scarica o esegue ulteriori payload, includendo controlli anti sandbox per ridurre le possibilità di rilevamento in ambienti di analisi. Lo scopo finale è distribuire STX RAT, che include funzioni avanzate come HVNC e un ampio set di comandi per post-exploitation, esecuzione in memoria di EXE, DLL, PowerShell o shellcode, oltre a funzionalità di reverse proxy e tunneling e interazione con il desktop.
Indicatori di threat intelligence e impatto osservato
Un dettaglio utile per la threat intelligence è che configurazioni e infrastruttura di comando e controllo sarebbero state riutilizzate da campagne precedenti basate su installer trojanizzati di altri software, facilitando l’attribuzione operativa e la rilevazione. Sono state osservate oltre 150 vittime, soprattutto utenti singoli, ma anche organizzazioni in settori come retail, manifattura, consulenza, telecomunicazioni e agricoltura, con infezioni rilevate in particolare in Brasile, Russia e Cina.