Des pirates sont parvenus à avoir accès à l’API du projet CPUID, ce qui leur a permis de modifier les liens de téléchargements de deux logiciels populaires : CPU-Z et HWMonitor. Résultat : un logiciel malveillant a été distribué. Voici ce que l’on sait sur cet incident.

Des millions de personnes utilisent ces deux outils : CPU-Z et HWMonitor. Le premier permet d’obtenir des informations précises sur le matériel, en particulier le processeur, la RAM, le GPU et la carte mère. Le second quant à lui permet de surveiller la température d’une machine en affichant les valeurs des différents capteurs. Personnellement, j’utilise systématiquement ces deux outils lorsque je prépare des tests d’ordinateurs pour IT-Connect.

Il y a quelques jours, des pirates sont parvenus à modifier le site web de CPUID utilisé pour distribuer les exécutables des outils CPU-Z, HWMonitor et HWMonitor Pro. Ce site web contient des boutons de téléchargement vers les différents fichiers, en fonction de la plateforme cible. Il s’avère que les pirates ont modifié ces liens pour pointer vers des versions infectées dans le but de délivrer un logiciel malveillant.

Interrogée par BleepingComputer, l’équipe de CPUID a confirmé qu’il y avait eu une intrusion via une API : “L’enquête est toujours en cours, mais il semblerait qu’une fonctionnalité secondaire (essentiellement une API secondaire) ait été compromise pendant environ six heures entre le 9 et le 10 avril, ce qui a entraîné l’affichage aléatoire de liens malveillants sur le site web principal (nos fichiers originaux signés n’ont pas été compromis). La faille a été détectée et a depuis été corrigée.”

Apparemment, les pirates sont bien renseignés puisqu’ils ont décidé de passer à l’action pendant que le développeur principal était en vacances. Hasard du calendrier ? Probablement pas. Une analyse des chercheurs en sécurité de Kaspersky a permis de définir la période durant laquelle les versions malveillantes ont été distribuées : du 9 avril à 15:00 UTC au 10 avril à 10:00 UTC. C’est plus important que celle indiquée par CPUID.

Quel est le malware déployé ?

Le logiciel malveillant a été déployé sous deux formes : au sein d’une archive ZIP ou directement intégré dans le programme d’installation de l’application. À chaque fois, une bibliothèque malveillante nommée a été utilisée dans le but d’être déclenchée via la technique de DLL Sideloading.

“La DLL malveillante est chargée d’établir la connexion C2 et d’exécuter la charge utile. Avant cela, elle effectue également une série de vérifications anti-sandbox et, si toutes ces vérifications sont réussies, elle se connecte au serveur C2.”, peut-on lire dans le rapport de Kaspersky.

Au final, le logiciel malveillant STX RAT a été déployé sur les machines des victimes. Ce malware de type Remote Access Trojan (RAT) est récent, et il a d’ailleurs été découvert par eSentire qui évoque une menace dotée de capacités d’infostealer. “Large éventail de fonctionnalités de vol d’informations, ciblant les identifiants et les cookies des navigateurs, les portefeuilles cryptographiques et les identifiants des clients FTP.”, peut-on lire.

Les versions de CPU-Z et HWMonitor infectées

D’après Kaspersky, quatre applications différentes infectées par ce malware ont été distribuées pendant quelques heures grâce aux liens malveillants :

• CPU-Z : version 2.19
• HWMonitor : version 1.63
• HWMonitor Pro : version 1.57
• PerfMonitor : version 2.04

À chaque fois, pour une même version, il y a donc eu deux exécutables en circulation : l’un sain, l’autre malveillant.

Le rapport de Kaspersky donne également des précisions sur les victimes : “D’après nos données de télémétrie, nous avons identifié plus de 150 victimes, dont la majorité sont des particuliers. Cependant, plusieurs organisations issues de divers secteurs, notamment le commerce de détail, l’industrie manufacturière, le conseil, les télécommunications et l’agriculture, ont également été touchées, la plupart des infections ayant été recensées au Brésil, en Russie et en Chine.”

Enfin, ce groupe de pirates n’en serait pas à sa première tentative : le mois dernier, la solution FTP FileZilla a été prise pour cible. Finalement, il semblerait que ces pirates ciblent les logiciels populaires et largement utilisés par la communauté IT mondiale.

Source