Trang CPUID bị chiếm quyền điều khiển, phát tán malware giả mạo HWMonitor

Trang web CPUID, nhà phát triển của các công cụ phần mềm phổ biến như HWMonitor và CPU-Z, vừa trở thành mục tiêu của một cuộc tấn công mạng. Vụ việc đã khiến các liên kết tải xuống tin cậy bị chuyển hướng sang phần mềm độc hại (malware), đặt người dùng vào rủi ro bị đánh cắp thông tin trong suốt sáu giờ.

Vấn đề được phát hiện khi nhiều người dùng trên Reddit và các diễn đàn khác báo cáo về các hoạt động bất thường khi cố gắng tải xuống các công cụ này. Các trình cài đặt kích hoạt cảnh báo từ phần mềm antivirus hoặc xuất hiện với tên lạ. Một ví dụ điển hình là bản cập nhật HWMonitor 1.63 lại trỏ đến một tệp có tên "HWiNFO_Monitor_Setup.exe" thay vì tệp cài đặt hợp lệ, là dấu hiệu rõ ràng cho thấy hệ thống đã bị can thiệp từ nguồn cấp.

Nguyên nhân và phản hồi từ nhà phát hành

CPUID đã xác nhận vụ vi phạm và làm rõ rằng nguyên nhân không phải do quá trình xây dựng phần mềm (build process) bị can thiệp, mà là do một thành phần backend bị xâm phạm.

Một trong những chủ sở hữu của trang web đã đăng bài trên X (trước đây là Twitter) cho biết: "Điều tra vẫn đang diễn ra, nhưng có vẻ như một tính năng phụ (về cơ bản là một API bên) đã bị xâm phạm trong khoảng sáu giờ giữa ngày 9 và 10 tháng 4, khiến trang web chính hiển thị ngẫu nhiên các liên kết độc hại (các tệp gốc có chữ ký của chúng tôi không bị ảnh hưởng). Vụ vi phạm đã được tìm thấy và khắc phục."

Điều này có nghĩa là các tệp cài đặt gốc của CPUID vẫn an toàn và được ký kỹ thuật số đúng cách, nhưng cơ chế phân phối tệp đã bị thao túng để chuyển hướng người dùng sang tệp độc hại.

Chi tiết về mã độc đánh cắp thông tin

Theo phân tích từ vx-underground, trình cài đặt độc hại dường như nhắm mục tiêu cụ thể đến người dùng HWMonitor phiên bản 64-bit. Malware bao gồm một tệp DLL giả mạo tên là CRYPTBASE.dll, được thiết kế để hòa trộn với các thành phần hợp pháp của Windows.

Sau khi được thực thi, DLL này sẽ kết nối đến một máy chủ chỉ huy và điều khiển (C&C) để tải xuống các payload bổ sung. Mã độc cố gắng hoạt động chủ yếu trong bộ nhớ, sử dụng PowerShell để tránh để lại dấu vết trên ổ cứng. Nó tải thêm mã, biên dịch một payload .NET ngay trên máy của nạn nhân và tiêm nó vào các quy trình khác.

Đáng lo ngại hơn, phân tích cho thấy malware đang nhắm đến dữ liệu trình duyệt. Trong quá trình kiểm thử, nó được nhìn thấy đang tương tác với giao diện COM IElevation của Google Chrome, một giao diện có thể được sử dụng để truy cập và giải mã các thông tin đăng nhập được lưu trữ.

Một phần của chiến lược rộng lớn hơn

Cùng một phân tích cũng chỉ ra mối liên hệ giữa hạ tầng được sử dụng trong vụ việc này với các chiến dịch trước đây, bao gồm một cuộc tấn công nhắm đến người dùng FileZilla. Điều này gợi ý rằng vụ việc tại CPUID không phải là một thử nghiệm ngẫu nhiên, mà là một phần của một kịch bản tấn công lặp lại (playbook) của nhóm tội phạm mạng.

Hiện tại, CPUID đã xác nhận rằng vấn đề đã được khắc phục. Tuy nhiên, vẫn chưa có chi tiết cụ thể về cách thức kẻ tấn công truy cập vào API hoặc số lượng người dùng thực sự đã tải xuống các tệp độc hại. Vụ việc một lần nữa nhắc nhở chúng ta rằng tin tặc không nhất thiết phải chạm vào mã nguồn của phần mềm để gây hại; việc tấn công vào chuỗi cung ứng ở bất kỳ điểm nào cũng có thể mang lại hậu quả nghiêm trọng.