Violazione di CPUID Distribuisce STX RAT tramite Download Troianizzati di CPU-Z e HWMonitor Recentemente, un attacco informatico ha colpito CPUID, un sito web noto per i suoi strumenti di monitoraggio hardware, tra cui CPU-Z e HWMonitor. Gli hacker hanno manomesso…
Violazione di CPUID Distribuisce STX RAT tramite Download Troianizzati di CPU-Z e HWMonitor
Recentemente, un attacco informatico ha colpito CPUID, un sito web noto per i suoi strumenti di monitoraggio hardware, tra cui CPU-Z e HWMonitor. Gli hacker hanno manomesso il sito per un breve periodo, servendo versioni infette del software agli utenti. Questo episodio rappresenta una minaccia non solo per gli utenti coinvolti, ma anche per le aziende che dipendono da questi strumenti, inclusi quelli presenti in Italia.
La Breccia e le Sue Conseguenze
L’incidente è avvenuto dal 9 aprile alle 15:00 UTC fino al 10 aprile alle 10:00 UTC, momento in cui i link per scaricare CPU-Z e HWMonitor sono stati sostituiti da collegamenti a siti malevoli. All’interno di queste versioni compromesse, era contenuto un trojan noto come STX RAT, in grado di offrire agli attaccanti accesso remoto ai dispositivi infetti.
CPUID ha confermato la violazione, attribuendola a un problema con una “funzione secondaria” del sito, che ha causato la visualizzazione casuale di link malevoli. Tuttavia, è importante sottolineare che i file originali e firmati non sono stati interessati dal problema.
Tecniche di Attacco e Malware Coinvolto
Secondo Kaspersky, i file infetti venivano distribuiti sia in archivi ZIP che come installer autonomi. All’interno, si trovava un eseguibile firmato ma accompagnato da un DLL maligno chiamato “CRYPTBASE.dll”, progettato per sfruttare una tecnica di DLL side-loading. Questo DLL malevolo contatta un server esterno per eseguire ulteriori payload, evitando però rilevamenti grazie a controlli anti-sandbox.
L’obiettivo finale di questa campagna era l’installazione dello STX RAT, un trojan dotato di funzionalità avanzate di furto di informazioni e controllo remoto. Gli attaccanti possono sfruttare questo strumenti per eseguire comandi per il controllo remoto, l’esecuzione di ulteriori payload e operazioni post-sfruttamento.
Un Attacco Coordinato e Timore di Espansione
Le analisi suggeriscono che questo attacco faccia parte di una campagna prolungata di 10 mesi, avviata lo scorso luglio, e attribuibile a un attore di minaccia di lingua russa, i cui motivi potrebbero variare da guadagni finanziari a un accesso iniziale a reti esterne. Kaspersky ha riportato l’identificazione di oltre 150 vittime, perlopiù individui, ma anche aziende nei settori del retail, manifatturiero, telecomunicazioni e agricoltura.
L’aspetto più preoccupante è che gli aggressori hanno riutilizzato domeni e tecnica di infezione già impiegati in attacchi precedenti, il che ha facilitato l’individuazione della violazione. Questo ribadisce l’importanza di avere robuste pratiche di sicurezza informatica, non solo per le aziende, ma anche per i singoli utenti.
Conclusione: Rimanere Vigili è Fondamentale
In questo contesto, è cruciale che gli utenti italiani, siano essi privati o rappresentanti di aziende, rimangano vigili e aggiornati sulle eventuali vulnerabilità. Utilizzare strumenti di monitoraggio della sicurezza, eseguire scansioni periodiche e aggiornare regolarmente il software possono ridurre il rischio di infezioni da malware. Essere consapevoli dei potenziali rischi, specialmente durante il download di software da fonti non verificate, rimane il primo passo per difendersi contro minacce in continua evoluzione.
