Сайт CPUID, откуда миллионы пользователей скачивают CPU-Z, HWMonitor и другие утилиты для мониторинга, был взломан. Примерно с 9 по 10 апреля ссылки на загрузку вели на подставные домены, где в архивах вместе с настоящей программой лежала вредоносная библиотека CRYPTBASE.dll.
Через подгрузку DLL на машину жертвы попадал троян удалённого доступа STX RAT. Он умеет красть данные, выполнять код в памяти, запускать PowerShell и shellcode, а также управлять рабочим столом через скрытый сеанс HVNC. Kaspersky насчитала более 150 пострадавших, в основном в Бразилии, России и Китае.
Атакующих подвела лень: они использовали те же серверы и схему, что и в мартовской кампании с поддельным FileZilla, что сильно упростило обнаружение. Если вы скачивали что-то с CPUID в указанный период, проверьте DNS-логи и систему на следы заражения.
#кибербезопасность #malware #CPUID
@SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM
1👀51