Un incident de cybersécurité a touché le site de CPUID, la plateforme des outils de monitoring PC CPU-Z et HWMonitor. Des attaquants ont réussi à compromettre une API du site, leur permettant de modifier les liens de téléchargement pour distribuer des exécutables malveillants à la place des logiciels légitimes.
Une attaque de la chaîne d’approvisionnement
L’incident a été révélé lorsque des utilisateurs sur Reddit ont signalé des comportements suspects après avoir téléchargé les outils depuis le site officiel.
L’installateur se présentait sous un nom étrange, HWiNFO_Monitor_Setup.exe, et lançait un programme d’installation en russe. CPUID a confirmé la brèche, expliquant qu’une » fonctionnalité secondaire (essentiellement une API annexe) a été compromise pendant environ six heures entre le 9 et le 10 avril « .
Les attaquants ont profité de l’absence du développeur principal. Ils n’ont pas modifié les fichiers originaux, qui sont restés signés numériquement, mais ont empoisonné la chaîne de distribution.
Quelle était la nature du malware distribué ?
Selon les analyses de chercheurs en sécurité comme vx-underground, le malware fonctionnait presque entièrement en mémoire pour échapper à la détection et utilisait des techniques avancées pour contourner les antivirus. Plusieurs versions des logiciels de CPUID ont été affectées, dont CPU-Z 2.19 et HWMonitor 1.63.
L’infection impliquait une DLL malveillante nommée CRYPTBASE.dll, utilisée pour se connecter à un serveur de commande et de contrôle et exécuter des charges utiles supplémentaires.
Identifiée par des chercheurs de Kaspersky, la charge utile finale est le RAT STX, un cheval de Troie d’accès à distance connu pour ses capacités de vol d’informations, notamment les identifiants de navigateur.
Plus d’une centaine de victimes
CPUID a rapidement corrigé la faille une fois découverte. Pour Kaspersky, ce sont seulement de l’ordre de 150 utilisateurs qui ont téléchargé une version malveillante, incluant des particuliers, mais aussi plusieurs organisations.
Il est intéressant de noter que l’infrastructure de commande et de contrôle utilisée est la même que celle observée lors d’une campagne précédente visant les utilisateurs de FileZilla via un faux site.
La vulnérabilité des chaînes d’approvisionnement est de nature à donner des sueurs froides et nécessite une vigilance constante.