Hackers Comprometem API do CPUID e Distribuem Malware em Links de Download
Recentemente, uma invasão direcionada à API secundária do projeto CPUID resultou na alteração dos links de download no site oficial dos renomados programas CPU-Z e HWMonitor. Essas ferramentas são amplamente reconhecidas por sua utilidade em diagnósticos de hardware.
Entre os dias 9 e 10 de abril, usuários foram expostos ao download de executáveis maliciosos. Felizmente, a empresa conseguiu identificar e corrigir a falha, assegurando que os binários originais permanecem seguros e intactos.
O ataque explorou uma API auxiliar, projetada para gerenciar os redirecionamentos dos botões de download. Os arquivos maliciosos estavam hospedados na nuvem Cloudflare R2 e se disfarçavam como uma versão modificada de outro software confiável, o HWiNFO.
O arquivo malicioso era nomeado HWiNFO_Monitor_Setup e, ao ser executado, abria um instalador russo usando o empacotador Inno Setup, comum em softwares legítimos. Essa tática de camuflagem visava enganar os usuários.
Relatos de usuários preocupados surgiram no Reddit, e a distribuição maliciosa foi confirmada pelas análises do canal Igor’s Labs e do perfil @vxunderground, que investigaram a natureza do payload, revelando um loader complicado.
Além de operar principalmente na memória, o malware emprega técnicas de mascaramento de arquivos e utiliza um método sofisticado para evitar detecções por antivírus. Na análise, o ZIP malicioso foi reconhecido por 20 diferentes motores antivírus, embora sem uma classificação unificada. Pesquisadores indicaram que essa variante falsa do HWiNFO atua como um infostealer, um malware projetado para roubar informações.
O vxunderground também sugere que esse grupo de hackers pode ser o mesmo responsável pelo recente comprometimento da distribuição do cliente FTP FileZilla. Tal comportamento revela uma tendência de atacar utilitários amplamente utilizados.
O CPUID revelou ao BleepingComputer que o ataque durou cerca de seis horas e ocorreu enquanto o desenvolvedor principal estava de férias. Atualmente, os links de download estão restaurados, apontando para versões seguras dos softwares.
Mantenha-se atualizado com as novidades e recomendações de segurança seguindo a TecMania em suas redes sociais e inscrevendo-se em nossa newsletter e canal do YouTube.