Website CPUID bị hack, phát tán phiên bản chứa mã độc của CPU-Z và HWMonitor

Website CPUID, một địa chỉ rất quen thuộc với cộng đồng phần cứng máy tính, gần đây đã bị tin tặc xâm nhập và chỉnh sửa để phát tán các phiên bản độc hại của CPU-Z, HWMonitor và PerfMonitor.

Các ứng dụng này cung cấp thông tin chi tiết về hệ thống, giám sát nhiệt độ, điện áp và hiệu năng processor, được sử dụng bởi hàng triệu cá nhân và doanh nghiệp trên toàn thế giới.

Chi tiết cuộc tấn công

Theo người quản lý của CPUID, một tính năng API phụ của trang web đã bị xâm phạm. Điều này khiến trang web hiển thị ngẫu nhiên các liên kết dẫn đến tên miền bên thứ ba thay vì các tệp tải xuống gốc. Các tệp gốc trên máy chủ không bị ảnh hưởng, nhưng người dùng truy cập vào thời điểm đó sẽ nhận được bản cài đặt đã bị chèn mã độc (trojanized).

Kaspersky mô tả đây là một cuộc tấn công chuỗi cung ứng và kiểu "watering hole". Các nhà nghiên cứu cho biết kẻ tấn công đã phân phối cả tệp nén ZIP và trình cài đặt độc lập. Chúng cài đặt phần mềm hợp pháp đi kèm với một tệp độc hại tên là cryptbase.dll, được tải vào hệ thống thông qua kỹ thuật DLL sideloading.

Mã độc STX RAT và nạn nhân

Mục tiêu cuối cùng của kẻ tấn công là phân phối một loại mã độc Windows mới được phát hiện, có tên là STX RAT. Mã độc này cho phép kẻ tấn công kiểm soát từ xa máy tính bị nhiễm và đánh cắp dữ liệu quan trọng như:

• Thông tin đăng nhập trình duyệt web
• Ví tiền điện tử (cryptocurrency wallets)
• Mật khẩu của ứng dụng khách FTP

Kaspersky đã xác định hơn 150 nạn nhân trong vụ việc này. Mặc dù phần lớn là cá nhân, nhưng cũng có các tổ chức thuộc lĩnh vực sản xuất, bán lẻ, viễn thông, tư vấn và nông nghiệp. Các ca nhiễm bệnh chủ yếu tập trung tại Brazil, Trung Quốc và Nga.

Thời gian và kẻ đứng sau

Về mốc thời gian, người duy trì CPUID cho biết sự cố xảy ra vào ngày 10/4 và trang web chỉ bị xâm phạm trong khoảng 6 giờ (từ 00:00 đến 06:00 GMT). Tuy nhiên, Kaspersky quan sát thấy một khoảng thời gian tấn công dài hơn, từ 15:00 ngày 9/4 đến 10:00 ngày 10/4 GMT.

Các nhà nghiên cứu tại Breakglass Intelligence thậm chí cho rằng cuộc tấn công bắt đầu từ ngày 3/4. Họ liên kết vụ việc này với một kẻ đe dọa nói tiếng Nga và một chiến dịch kéo dài 10 tháng trước đó liên quan đến việc phát tán phiên bản độc hại của phần mềm FileZilla.

Người dùng đã tải xuống phần mềm từ CPUID trong khoảng thời gian nói trên được khuyến cáo kiểm tra kỹ hệ thống để đảm bảo không bị nhiễm mã độc.