แฮ็กเกอร์สามารถโจมตีเข้าถึง API ของโปรเจกต์ CPUID และได้ทำการเปลี่ยนลิงก์ดาวน์โหลดบนเว็บไซต์ Official เพื่อปล่อยไฟล์ Executables ที่เป็นอันตรายแทนที่โปรแกรมยอดนิยมอย่าง CPU-Z และ HWMonitor
Utility ทั้งสองตัวนี้มีผู้ใช้งานหลายล้านคนที่อาศัยโปรแกรมเพื่อติดตามสภาพการทำงานของฮาร์ดแวร์ภายในคอมพิวเตอร์ และใช้ดูข้อมูล Spec ของระบบอย่างละเอียด
เมื่อไม่นานมานี้ ผู้ใช้ที่ดาวน์โหลดเครื่องมือตัวใดตัวหนึ่งได้รายงานบน Reddit ว่า หน้าดาวน์โหลดบนเว็บ Official ได้เชื่อมโยงไปยังบริการพื้นที่เก็บข้อมูล Cloudflare R2 และดึงเอาโปรแกรม HWiNFO (ซึ่งเป็นเครื่องมือวิเคราะห์ และตรวจสอบสภาพเครื่องอีกตัวหนึ่งจากผู้พัฒนาคนละเจ้า) ในเวอร์ชันที่ถูกฝังมัลแวร์ประเภท Trojan ลงมาแทน
ไฟล์อันตรายดังกล่าวมีชื่อว่า HWiNFO_Monitor_Setup และเมื่อรันโปรแกรม จะเป็นการเปิดตัว Install ภาษารัสเซียที่ใช้ Inno Setup ซึ่งเป็นรูปแบบที่ผิดปกติ และน่าสงสัยเป็นอย่างมาก
ผู้ใช้รายงานว่ายังคงสามารถดาวน์โหลดไฟล์ hwmonitor_1.63.exe ที่ปลอดภัย ผ่าน URL โดยตรงได้ ซึ่งแสดงให้เห็นว่าไฟล์โปรแกรมต้นฉบับยังคงปลอดภัยดี แต่ลิงก์ที่ใช้สำหรับดาวน์โหลดบนหน้าเว็บดูเหมือนจะถูกดัดแปลงให้เป็นอันตรายไปแล้ว
รูปแบบการเชื่อมโยงลิงก์ดาวน์โหลดไปยังเครือข่ายภายนอกนี้ ได้รับการยืนยันจาก Igor’s Labs และ @vxunderground เช่นกัน โดยทั้งสองรายงานว่ามีโปรแกรม Loader ระดับสูงที่ทำงานโดยใช้เทคนิค วิธีการ และขั้นตอน (TTPs) ที่เป็นที่รู้จักเข้ามาเกี่ยวข้อง
@vxunderground ระบุว่า "เมื่อผมเริ่มลงมือตรวจสอบมัน ผมก็พบว่านี่ไม่ใช่มัลแวร์ทั่วไปที่เราพบเห็นได้บ่อย"
"มัลแวร์ตัวนี้ถูกฝัง Trojan ไว้อย่างซับซ้อน เผยแพร่ผ่านโดเมนที่ถูกโจมตีระบบ (cpuid-dot-com) มีการปลอมแปลงไฟล์ ทำงานแบบ multi-staged ประมวลผลในหน่วยความจำเกือบทั้งหมด และใช้วิธีการที่น่าสนใจบางอย่างในการหลบเลี่ยงระบบป้องกันภัยคุกคาม EDR หรือโปรแกรม Antivirus (AV) เช่น การทำ proxy ฟังก์ชัน NTDLL ผ่าน .NET assembly"
นักวิจัยอ้างว่ากลุ่มผู้โจมตีกลุ่มเดียวกันนี้เพิ่งจะพุ่งเป้าโจมตีผู้ใช้งานโปรแกรม FileZilla (FTP solution) ไปเมื่อเดือนที่แล้ว ซึ่งแสดงให้เห็นว่าผู้โจมตีกำลังมุ่งเน้นไปที่โปรแกรม Utility ที่มีการใช้งานอย่างแพร่หลาย
ไฟล์ ZIP ที่ดาวน์โหลดมานั้นถูกแจ้งเตือนว่าเป็นอันตรายโดย Engine ของ Antivirus ถึง 20 ตัวบน VirusTotal แม้ว่าจะยังไม่สามารถระบุสายพันธุ์ได้อย่างชัดเจนนัก โดยบางตัวจัดประเภทให้มันเป็น Tedy Trojan ในขณะที่บางตัวระบุว่าเป็น Artemis Trojan
นักวิจัยบางส่วนบน VirusTotal ระบุว่า HWiNFO ตัวปลอมนี้เป็นมัลแวร์ประเภท Infostealer malware
BleepingComputer ได้ติดต่อไปยัง CPUID เพื่อสอบถามข้อมูลเพิ่มเติมเกี่ยวกับเหตุการณ์ที่เกิดขึ้น วันที่ระบบถูกโจมตี เวอร์ชันที่ได้รับผลกระทบ รวมถึงแนวทางปฏิบัติสำหรับผู้ใช้ที่ได้รับผลกระทบ โดยทางโฆษกได้ให้แถลงการณ์ดังต่อไปนี้
โฆษก CPUID ระบุว่า "การสืบสวนยังคงดำเนินอยู่ แต่ดูเหมือนว่าฟีเจอร์รอง (พูดง่ายๆ คือ API เสริม) จะถูกโจมตีระบบไปเป็นเวลาประมาณ 6 ชั่วโมง ในช่วงระหว่างวันที่ 9 ถึง 10 เมษายน ส่งผลให้เว็บไซต์หลักมีการสุ่มแสดงลิงก์อันตราย (แต่ไฟล์ต้นฉบับที่มีการรับรองลายเซ็นดิจิทัลของเราไม่ได้รับผลกระทบใด ๆ) ซึ่งช่องโหว่การโจมตีระบบดังกล่าวถูกตรวจพบ และได้รับการแก้ไขเป็นที่เรียบร้อยแล้ว"
โฆษก CPUID ระบุเพิ่มเติมว่า แฮ็กเกอร์ได้ลงมือโจมตีในช่วงเวลาที่นักพัฒนาหลักของโปรเจกต์กำลังลาพักร้อนพอดี
ปัจจุบัน ดูเหมือนว่าทาง CPUID จะสามารถแก้ไขปัญหาที่เกิดขึ้นได้แล้ว และกลับมาเปิดให้ดาวน์โหลดโปรแกรมเวอร์ชันที่ปลอดภัยทั้ง CPU-Z และ HWMonitor ตามปกติ
ที่มา : bleepingcomputer
You must be logged in to post a comment.