Sun, 12 Apr 2026
← VoltarO CPUID foi comprometido por menos de 24 horas, servindo executáveis maliciosos e implantando o trojan STX RAT. A violação explorou um recurso secundário da API sem afetar os arquivos originais assinados.
Atores de ameaças desconhecidos comprometeram o CPUID ("cpuid[.]com"), um site que hospeda ferramentas populares de monitoramento de hardware como CPU-Z, HWMonitor, HWMonitor Pro e PerfMonitor, por menos de 24 horas para fornecer executáveis maliciosos para o software e implantar um trojan de acesso remoto chamado STX RAT. O incidente durou aproximadamente de 9 de abril, às 15h UTC, até cerca de 10 de abril, às 10h UTC, com os URLs de download dos instaladores CPU-Z e HWMonitor substituídos por links para sites maliciosos. Em uma postagem compartilhada no X, CPUID confirmou a violação, atribuindo-a ao comprometimento de um “recurso secundário (basicamente uma API secundária)” que fazia com que o site principal exibisse links maliciosos aleatoriamente. É importante notar que o ataque não afetou os arquivos originais assinados.
De acordo com a Kaspersky, os nomes dos sites nocivos são os seguintes - cahayailmukreatif.web[.]id pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev transitopalermo[.]com vatrobran[.]hr "O software trojanizado foi distribuído como arquivos ZIP e como instaladores autônomos para os produtos mencionados", o russo empresa de segurança cibernética disse. "Esses arquivos contêm um executável legítimo assinado para o produto correspondente e uma DLL maliciosa, chamada 'CRYPTBASE.dll' para aproveitar a técnica de carregamento lateral de DLL." A DLL maliciosa, por sua vez, entra em contato com um servidor externo e executa cargas adicionais, mas não antes de realizar verificações anti-sandbox para evitar a detecção. O objetivo final da campanha é implantar o STX RAT, um RAT com HVNC e amplos recursos de infostealer. STX RAT “expõe um amplo conjunto de comandos para controle remoto, execução de carga útil subsequente e ações pós-exploração (por exemplo, execução na memória de EXE/DLL/PowerShell/shellcode, proxy reverso/túnel, interação de desktop)", disse eSentire em uma análise do malware na semana passada.
O endereço do servidor de comando e controle (C2) e a configuração da conexão foram reutilizados de uma campanha anterior que aproveitou instaladores trojanizados do FileZilla hospedados em sites falsos para implantar o mesmo malware RAT. A atividade foi documentada pela Malwarebytes no início do mês passado. A Kaspersky disse que identificou mais de 150 vítimas, a maioria indivíduos afetados pelo incidente. No entanto, as organizações do retalho, da indústria transformadora, da consultoria, das telecomunicações e da agricultura também foram afetadas.
A maioria das infecções está localizada no Brasil, Rússia e China. “O erro mais grave que os invasores cometeram foi reutilizar a mesma cadeia de infecção envolvendo STX RAT e os mesmos nomes de domínio para comunicação C2 do ataque anterior relacionado a instaladores falsos do FileZilla”, disse Kaspersky. “As capacidades gerais de desenvolvimento/implantação de malware e de segurança operacional do agente da ameaça por trás deste ataque são bastante baixas, o que, por sua vez, tornou possível detectar o comprometimento do watering hole assim que ele começou.”