Почти целые сутки посетители ресурса CPUID сталкивались с опасными ссылками, которые вели на заражённые версии установщиков программ для мониторинга. Специалисты из Kaspersky полагают, что организаторы атаки не обладают высоким уровнем мастерства.
Портал CPUID, на котором размещены такие широко известные утилиты для наблюдения за системой, как CPU-Z, HWMonitor, HWMonitor Pro и PerfMonitor, на прошлой неделе стал жертвой кибернападения. Хакеры сумели заменить легитимные ссылки на загрузку CPU-Z и HWMonitor на вредоносные, и почти сутки сайт распространял троян удалённого доступа STX RAT.
Разработчики программ подтвердили факт взлома и отметили, что это стало возможным из-за некой «вспомогательной функции (фактически, стороннего API)», которая позволяла отображать чужие ссылки.
С этих страниц пользователи невольно загружали ZIP-архивы и отдельные установщики с заражёнными версиями. «В этих файлах, вместе с законными исполняемыми файлами [продуктов CPUID], находилась вредоносная DLL-библиотека CRYPTBASE.dll, применяемая для скрытой подгрузки», — сообщается в статье на Securelist.com (пока доступна лишь на английском).
Эта библиотека соединяется с внешним сервером и загружает дополнительные модули, предварительно проверяя систему на наличие отладочных и тестовых сред («песочниц»). Конечная цель — установка трояна STX RAT, который, помимо прочего, оснащён функциями скрытой виртуальной сети (HVNC) и кражи данных.
Троян предоставляет своим операторам довольно обширный арсенал средств для удалённого управления и последующей эксплуатации, включая выполнение в памяти шеллкода, скриптов PowerShell, а также исполняемых EXE- и DLL-файлов. Кроме того, он поддерживает функции обратного прокси, туннелирования и управления рабочим столом атакованного устройства.
Как выяснилось, текущая кампания по сути является повторением более ранней, с той лишь разницей, что в прошлый раз — в начале марта — злоумышленники применяли специально созданный поддельный сайт и заражённые установщики файлообменного пакета FileZilla.
И сам вредонос, и его управляющая C2-инфраструктура остались теми же, как и последовательность этапов заражения.
«Главной ошибкой злоумышленников стало использование той же цепочки заражений с STX RAT и повторное применение тех же доменных имён для контрольных серверов, что и при атаках на пользователей FileZilla. В целом, уровень квалификации хакеров в области разработки, развёртывания и операционной безопасности крайне низок, поэтому компрометацию [сайта CPUID] удалось обнаружить практически сразу», — говорится в отчёте Kaspersky.
Тем не менее, как уже упоминалось, пользователи CPUID перенаправлялись на вредоносные ресурсы примерно с 15:00 по Гринвичу 9 апреля до 10:00 10 апреля, то есть около 19 часов.
«Даже при невысоком уровне подготовки хакеров часть атак всё же увенчалась успехом, — подчёркивает Никита Павлов, специалист по кибербезопасности из компании SEQ. — Ставка на заражённые версии распространённых программ оказалась оправданной; вполне возможно, что пострадавших было бы больше, если бы злоумышленники не поленились зарегистрировать свежие доменные адреса».
Согласно статистике Kaspersky, число пострадавших от STX RAT достигло примерно 150; в основном это обычные пользователи, но среди них встречаются и бизнес-организации. Наибольшее количество инцидентов зафиксировано в России, Бразилии и Китае.
