未知威胁行为者入侵CPUID网站,从大约4月9日15:00 UTC开始,到4月10日10:00 UTC结束,总计不到19小时。下载CPU-Z和HWMonitor安装包的链接被替换成恶意站点cahayailmukreatif.web[.]id、pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev等四个地址。根据CPUID在X平台的确认,这次攻击源于一个次要API功能失守,导致主页随机弹出恶意链接。官方强调,原文件签名未受影响,用户下载的正版软件依然安全。Kaspersky报告显示,这些伪造文件以ZIP压缩包或独立安装器形式传播,内含合法可执行文件和名为CRYPTBASE.dll的恶意动态链接库,利用DLL侧加载技巧逃避检测。
恶意DLL先执行反沙箱检查,避免在虚拟环境中暴露。检查通过后,它联系外部服务器下载额外载荷,最终植入STX RAT远程访问木马。根据eSentire上周的分析,STX RAT支持HVNC隐藏虚拟网络计算,还内置信息窃取模块,能远程执行EXE、DLL、PowerShell或Shellcode,甚至搭建反向代理隧道操控桌面。该木马的命令控制服务器地址,与上个月伪造FileZilla安装包的攻击链重用相同域名,当时Malwarebytes最早记录了这波活动。Kaspersky指出,攻击者重用感染链和C2配置是最大失误,暴露了其开发和操作安全水平低下,从事件一开始就容易被发现。
Kaspersky已追踪超过150名受害者,大多是个体用户。零售、制造、咨询、电信和农业领域的企业也中招。感染最集中的国家是巴西、俄罗斯和中国。根据The Hacker News报道,这次事件属于供水池攻击,针对硬件监控工具用户下手。CPUID快速响应,清理了站点,但提醒用户检查最近下载。类似供应链攻击频发,用户下载热门工具时最好验证来源和签名。STX RAT的窃取能力强,过去案例显示它能抓取浏览器数据和凭证,潜在风险不小。