- लोकप्रिय सिस्टम utility HWMonitor और CPU-Z के download links को अस्थायी रूप से बदलकर malware वितरित किया गया
- हमलावरों ने CPUID वेबसाइट के backend के एक हिस्से पर कब्ज़ा कर लिया और सामान्य installer files की जगह यादृच्छिक रूप से malicious files उपलब्ध कराईं
- malicious version में नकली CRYPTBASE.dll शामिल थी, जो command-and-control server से संचार करती है और PowerShell के ज़रिए मेमोरी में चलने वाला .NET payload inject करती है
- CPUID ने breach को स्वीकार करते हुए कहा कि 6 घंटे के भीतर समस्या ठीक कर दी गई, और signed original files से छेड़छाड़ नहीं हुई
- यह घटना supply chain attack के विस्तार की तरह है, जो दिखाती है कि code बदले बिना भी केवल distribution path के जरिए नुकसान पहुँचाया जा सकता है
CPUID वेबसाइट हैक होने से HWMonitor download malware से बदल दिया गया
- CPUID वेबसाइट को अस्थायी रूप से हैक कर HWMonitor और CPU-Z के download links को malware distribution path में बदल दिया गया
- हमलावरों ने backend के एक हिस्से पर नियंत्रण कर सामान्य links को यादृच्छिक रूप से malicious files से बदल दिया
- कुछ users ने बताया कि installer file पर antivirus warning आती थी या उसका filename असामान्य दिखता था
- HWMonitor 1.63 update link के “HWiNFO_Monitor_Setup.exe” नाम की गलत file पर जाने का मामला सामने आया, जिससे upstream स्तर पर छेड़छाड़ की आशंका बढ़ी
- Reddit जैसे community platforms पर कई users ने समस्या पहचानकर चेतावनी साझा की
- CPUID ने बाद में आधिकारिक रूप से breach स्वीकार किया और बताया कि software build नहीं, बल्कि auxiliary API (backend component) लगभग 6 घंटे तक compromise हुआ था
- यह घटना 9 अप्रैल से 10 अप्रैल के बीच हुई और अब ठीक कर दी गई है
- कंपनी ने स्पष्ट किया कि signed original files से छेड़छाड़ नहीं हुई
- malicious installer file 64-bit HWMonitor users को निशाना बना रही थी और इसमें Windows component जैसा दिखने वाला नकली CRYPTBASE.dll शामिल था
- यह DLL command-and-control (C2) server से जुड़कर अतिरिक्त payload डाउनलोड करती है
- malware डिस्क पर निशान न छोड़ने के लिए PowerShell का उपयोग कर मेमोरी में चलता है, victim system पर .NET payload compile कर दूसरे process में inject करता है
- Chrome IElevation COM interface के जरिए browser में saved credentials तक पहुँचने की गतिविधि भी देखी गई
- विश्लेषण के अनुसार, इस हमले में पहले FileZilla users को निशाना बनाने वाले campaign जैसी ही infrastructure का उपयोग किया गया
- vx-underground के विश्लेषण के मुताबिक, उसी attacker group द्वारा कई software distribution networks के दुरुपयोग के संकेत मिले हैं
- CPUID ने कहा कि समस्या हल कर दी गई है, लेकिन API access path और संक्रमित users की संख्या अभी सार्वजनिक नहीं की गई
- इस घटना को ऐसे उदाहरण के रूप में देखा जा रहा है जो दिखाती है कि हमलावर code को बदले बिना भी केवल distribution path के जरिए नुकसान पहुँचा सकते हैं
अभी कोई टिप्पणी नहीं है.