Wenn Sie in der Regel Tools wie CPU-Z oder HWMonitor herunterladen, um Ihre Computerleistung zu überwachen, können Sie befürchten, dass die offizielle CPUID-Website ( Cpuid.com) wurde von Angreifern für weniger als 24 Stunden manipuliert, um schädliche Installateure zu bedienen. Die Intrusion, nach dem Unternehmen selbst, nutzte eine sekundäre Funktionalität der Website und verursachte legitime Links durch Leserbriefe an falsche Websites, die gefälschte Dateien hosten ersetzt werden.
Der Vorfall fand zwischen dem 9. und 10. April statt und, obwohl die ursprünglich unterzeichneten Installateure intakt blieben, zeigten einige Download-Punkte Links zu den von den Angreifern kontrollierten Seiten. Cybersecurity-Forscher wie Kaspersky und Reaktionsteams haben die beteiligten Adressen und die Infektionskette verfolgt und bestätigt, dass Angreifer verteilten ausführbare, begleitet von einer bösartigen DLL benannt als CRYPTBASE.dll eine als DLL-Seitenbeladung bekannte Technik auszunutzen.
In einfachen Worten, der Mechanismus wie diese betrieben: neben der legitimen ausführbar von der kompromittierten Software, eine bösartige DLL mit einem Namen, dass das Programm würde unbemerkt. Diese DLL kommunizierte mit externen Servern, überprüft, um Sandboxen zu vermeiden und, wenn es günstige Bedingungen fand, Bereitstellung zusätzlicher Gebühren. Das ultimative Ziel der Kampagne war es, einen Remote-Zugriff Trojan namens STX RAT, eine Malware-Familie mit Informationsdiebstahl, Fernbedienung und Payload-Ausführung Fähigkeiten im Speicher.
STX RAT ist kein Spielzeug: Es enthält Funktionen, um einen virtuellen Remote-Desktop (HVNC) zu erstellen, Binäre oder Code im Speicher auszuführen, umgekehrte Tunnel oder Proxies zu etablieren und direkte Interaktionen mit dem Benutzerbildschirm durchzuführen. Diese Flexibilität macht es zu einem leistungsstarken Werkzeug, um Anmeldeinformationen zu extrahieren, sich seitlich in Netzwerke zu bewegen und kompromittierte Geräte zu steuern. Sicherheitsanalysten wie ESentire haben die Fähigkeiten und Befehle, die diese bösartige Familie bietet den Angreifern dokumentiert.
Die auffällige Sache an dieser Kampagne ist laut Berichten, dass die Betreiber wieder Infrastruktur und Konfigurationen von einem vorherigen Betrieb, in dem die FileZilla verseilte Installateure verteilt wurden, um den gleichen RAT einzusetzen. Dieser operative Fehler erleichterte die Erkennung von Teams, die neue Intrusion schneller zu identifizieren und zuzuordnen. Signaturen und Domänen, die zuvor in Verbindung mit Befehls- und Steuerservern wiedererscheint wurden, was es ermöglichte, Verbindungen zwischen den Vorfällen zu ziehen.
Die Cyber-Sicherheitsunternehmen, die den Fall analysiert haben, haben mehr als 150 Opfer identifiziert, meistens private Nutzer, obwohl es auch betroffenen Organisationen in Sektoren wie Einzelhandel, Produktion, Beratung, Telekommunikation und Landwirtschaft. Geographisch wurden die meisten Infektionen in Brasilien, Russland und China konzentriert. Die Tatsache, dass der Angriff auf Hardware-Tool-Installateure - Software der gemeinsamen Nutzung zwischen Technikern und Enthusiasten - gerichtet wurde, unterstreicht das Risiko zentralisierter Lieferketten und Download-Ressourcen.
Was können Benutzer und Administratoren über solche Bedrohungen tun? Zuerst überprüfen Sie die Quelle der Installateure: immer von offiziellen Seiten herunterladen und, wo möglich, überprüfen Sie Fingerabdrücke oder Softwaresignaturen. Obwohl in diesem Fall die Originalsignaturen nicht verändert wurden, ist das Vorhandensein zusätzlicher Dateien neben der legitimen ausführbar ein Alarmsignal. Sicherheitslösungen mit Netzwerktelemetrie- und Verhaltenserkennungsfunktionen helfen auch, verdächtige Kommunikationen zu Befehls- und Steuerungsdomänen zu identifizieren.
Organisationelle Verteidigungspraktiken sollten binäre Integritätskontrolle, eingeschränkte Ausführungsrichtlinien, Netzwerksegmentierung und Überwachung von ausgehenden Verbindungen umfassen, um Versuche zu erkennen, mit bösartigen Servern zu kommunizieren. Für diejenigen, die Download-Portale verwalten, ist die Lektion klar: Die "sekundären" oder Hilfs-APIs-Funktionen erfordern die gleiche Sicherheitsprüfung wie der Kern des Dienstes, weil ein Ausfall in ihnen als Vektor für Wasser-Loch-Angriffe dienen kann, die Tausende von Benutzern beeinflussen.
Wenn Sie die technischen Analysen und offiziellen Veröffentlichungen lesen möchten, finden Sie Informationen auf den Seiten der Hauptakteure, die den Fall untersuchten: die CPUID-Website selbst ( gemeldet in X und Ihre Website), berichtet Kaspersky ( kaspersky.com), die Fortsetzung von Malharebytes ( Malwarebytes.com) und Antwortanalysen von spezialisierten Unternehmen wie ESentire und technologische Mittel, die Geschichte ( BlepingComputer) Diese Quellen werden Ihnen eine tiefere und technische Vision geben, wenn Sie sie benötigen.
Kurz gesagt, erinnert sich dieser Fall daran, dass selbst bekannte Portale zu Infektionsvektoren werden können, wenn alle ihre Schichten nicht geschützt sind. Die gute Nachricht ist, dass die Wiederverwendung von Infrastruktur durch die Angreifer ihre Erkennung erleichtert; die schlechte, diese Side-Rolling-Technik und die Verwendung von Ratten wie STX bleiben echte und effektive Bedrohungen. Die Aufrechterhaltung aktualisierter Software, die Validierung von Downloads und die Kombination von Perimeter-Verteidigungen mit Integritätskontrollen bleibt die beste Strategie, um das Risiko zu reduzieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...