เว็บไซต์ CPUID ถูกแฮก ลอบส่งมัลแวร์ผ่านโปรแกรมยอดฮิต CPU-Z และ HWMonitor

เปลี่ยนลิงก์ดาวน์โหลดเป็นมัลแวร์

Artherlus2 minutes ago

0 น้อยกว่า 1 นาที

เว็บไซต์ทางการของ CPUID ถูกผู้ไม่หวังดีเจาะระบบผ่าน API เสริม แล้วทำการเปลี่ยนลิงก์ดาวน์โหลดโปรแกรมยอดนิยมอย่าง CPU-Z และ HWMonitor ให้กลายเป็นไฟล์อันตราย ซึ่งโปรแกรมเหล่านี้มีผู้ใช้งานหลายล้านคนทั่วโลกที่ไว้ใจใช้ตรวจสอบสเปกและสุขภาพของเครื่องคอมพิวเตอร์ โดยเหตุการณ์นี้ถูกตรวจพบหลังจากมีผู้ใช้บน Reddit สังเกตเห็นความผิดปกติของไฟล์ที่ดาวน์โหลดมาว่าไปโผล่ที่บริการ Cloudflare R2 แทนที่จะเป็นเซิร์ฟเวอร์หลักตามปกติ

ความแสบของแฮกเกอร์กลุ่มนี้คือการส่งมัลแวร์ที่ปลอมตัวเป็นโปรแกรม HWiNFO (ซึ่งเป็นโปรแกรมตรวจสอบสเปกจากอีกค่ายหนึ่ง) ในชื่อไฟล์ HWiNFO_Monitor_Setup โดยเมื่อรันไฟล์จะปรากฏหน้าต่างติดตั้งเป็นภาษารัสเซียซึ่งผิดวิสัยอย่างมาก ทางด้าน @vxunderground นักวิจัยความปลอดภัยระบุว่ามัลแวร์ตัวนี้ไม่ใช่แค่ของกระจอก เพราะมันทำงานในหน่วยความจำเกือบทั้งหมด มีหลายขั้นตอนในการเจาะระบบ และมีเทคนิคชั้นสูงในการหลบเลี่ยงโปรแกรมแอนตี้ไวรัส (AV) และระบบตรวจจับระดับองค์กร (EDR)

จากการสืบสวนพบว่าช่วงเวลาที่เกิดเหตุอยู่ในช่วงระหว่างวันที่ 9 เมษายน เวลาประมาณ 22:00 น. จนถึงวันที่ 10 เมษายน เวลาประมาณ 17:00 น. ตามเวลาประเทศไทย ซึ่งโฆษกของ CPUID ยอมรับว่าแฮกเกอร์เลือกลงมือในช่วงที่หัวหน้าทีมพัฒนาหลักกำลังลาพักร้อนพอดี โดยซอฟต์แวร์เวอร์ชันที่ได้รับผลกระทบประกอบด้วย CPU-Z (2.19), HWMonitor Pro (1.57), HWMonitor (1.63) และ PerfMonitor (2.04)

ทาง Kaspersky ได้วิเคราะห์เจาะลึกและพบว่ามัลแวร์ที่แฝงมาคือ STX RAT ซึ่งมีความสามารถในการเป็น Infostealer หรือตัวขโมยข้อมูลสำคัญในเครื่อง โดยมันใช้วิธีที่เรียกว่า DLL Sideloading ผ่านไฟล์ชื่อ CRYPTBASE.dll เพื่อเชื่อมต่อกับเซิร์ฟเวอร์สั่งการ (C2) และจากการตรวจสอบพบว่าเป็นแฮกเกอร์กลุ่มเดียวกับที่เคยโจมตีผู้ใช้งานโปรแกรม FileZilla เมื่อเดือนที่แล้ว ซึ่งแสดงให้เห็นว่าพวกเขากำลังพุ่งเป้าไปที่โปรแกรมยูทิลิตี้ที่มีฐานผู้ใช้งานจำนวนมาก

ผลกระทบในครั้งนี้กระจายไปสู่วงกว้าง โดย Kaspersky พบว่ามีผู้ใช้มากกว่า 150 รายที่ดาวน์โหลดไฟล์อันตรายนี้ไป ซึ่งมีทั้งบุคคลทั่วไปและองค์กรในภาคการผลิต โทรคมนาคม และการเกษตร โดยเฉพาะในประเทศบราซิล รัสเซีย และจีน อย่างไรก็ตาม ทาง CPUID ยืนยันว่าไฟล์ต้นฉบับที่มีการลงลายเซ็นดิจิทัล (Signed) นั้นไม่ได้ถูกแก้ไข แต่เป็นเพียงแค่ลิงก์บนหน้าเว็บเท่านั้นที่ถูกวางยา ซึ่งปัจจุบันได้รับการแก้ไขให้กลับมาปลอดภัยเป็นที่เรียบร้อยแล้ว

สำหรับใครที่ดาวน์โหลดโปรแกรมจาก CPUID ในช่วงวันและเวลาดังกล่าว แนะนำให้ตรวจสอบเครื่องของคุณอย่างละเอียด หากพบว่าไฟล์ติดตั้งมีชื่อแปลกๆ หรือมีหน้าจอการติดตั้งภาษารัสเซีย ให้รีบลบไฟล์นั้นทิ้งและสแกนไวรัสทันที หรือทางที่ดีที่สุดคือการดาวน์โหลดเวอร์ชันล่าสุดจากหน้าเว็บไซต์อีกครั้งเพื่อความมั่นใจ เพราะในขณะนี้ระบบตรวจสอบของ VirusTotal และค่ายแอนตี้ไวรัสต่างๆ เริ่มตรวจพบและระบุตัวตนของมัลแวร์ตัวนี้ได้ชัดเจนขึ้นแล้วในชื่อ Tedy หรือ Artemis Trojan

ที่มา