☕️ Victime d’un hack, CPUID a distribué un malware au lieu de CPU-Z…

Une actualité relayée par Next INpact concerne : ☕️ Victime d’un hack, CPUID a distribué un malware au lieu de CPU-Z et HWMonitor.

CPUID, l’éditeur des utilitaires CPU-Z et HWMonitor, a pu être victime d’un hack ayant permis à des malandrins de distribuer un cheval de Troie à la place de ces deux outils. Les liens de téléchargement officiels ont pu être modifiés pour pointer vers des fichiers malveillants. L’attaque a eu lieu entre les 9 et 10 avril. La situation est désormais sous contrôle.

Screenshot des utilitaires CPU-Z et HWMonitor

Ces deux logiciels comptent des millions d’utilisateurs. CPU-Z est un outil d’identification des composants d’un PC, HWMonitor surveille les capteurs (température, ventilos, etc.). Ceux qui ont eu le malheur de télécharger ces utilitaires durant l’attaque se sont retrouvés avec une variante malveillante de HWiNFO, un outil de diagnostic créé par un autre développeur.

Le logiciel piégé, baptisé « HWiNFO_Monitor_Setup », installe un malware d’origine russe depuis un nom de domaine compromis, détaille vx-underground. Il agit de manière progressive en plusieurs étapes pour ne pas éveiller les soupçons, exécute ses actions directement dans la mémoire vive en évitant d’écrire sur le disque du PC, et utilise des techniques d’évasion pour échapper aux antivirus et aux systèmes de détection. 

Le fichier compressé de l’application vérolée est tout de même identifié par une vingtaine d’antivirus, qui le classent comme un cheval de Troie ou un infostealer. Samuel Demeulemeester, alias Doc Teraboule, le développeur derrière CPU-Z et HWMonitor, a assuré que la faille avait été identifiée et corrigée. 

Si l’enquête est toujours en cours, il semble qu’une fonction secondaire (une API annexe) a pu être compromise « pendant environ six heures entre le 9 et le 10 avril ». Doc TB précise à Next que les liens vers le fichier vérolé sont restés en ligne sur le site de CPUID entre 2 h et 8 h (heure française). Seules les dernières versions de CPU-Z et HWMonitor proposées sous la forme d’un fichier compressé .ZIP ont pu être touchés, pas les .EXE. Il précise aussi que l’app malveillante n’étant pas signée, elle déclenchait donc Windows Defender immédiatement à l’extraction. De quoi limiter l’impact de l’infection.

Important aussi à avoir en tête : les fichiers hébergés sur le serveur de CPUID n’ont pas été compromis, uniquement les liens du site web. Les mises à jour automatiques des logiciels n’ont pas été touchées. Concernant l’attaque en elle-même, son envergure était a priori prévue pour être plus importante encore, puisque les pirates sont parvenus à compromettre les clés TLS privées en exploitant une faille Apache (les certificats compromis ont pu être révoqués).

Le développeur, toujours à pied d’œuvre, a pu réagir rapidement grâce aux experts en sécurité (et Reddit !) qui lui ont donné un coup de main.

Après Trivy, Axios : une attaque chirurgicale et violente de la supply chain