Des pirates informatiques ont réussi à accéder à une API du projet CPUID, modifiant les liens de téléchargement sur le site officiel pour distribuer des exécutables malveillants associés aux outils populaires CPU-Z et HWMonitor.
Ces deux utilitaires, utilisés par des millions d’utilisateurs pour surveiller la santé matérielle des ordinateurs et obtenir des spécifications système détaillées, ont suscité des alertes sur les réseaux sociaux.
Des utilisateurs ont signalé sur Reddit que le portail de téléchargement officiel redirigeait vers le service de stockage Cloudflare R2 et récupérait une version contaminée de HWiNFO, un outil de diagnostic provenant d’un autre développeur.
Le fichier malveillant se nomme HWiNFO_Monitor_Setup, qui, une fois exécuté, lance un installateur russe présentant l’interface Inno Setup, une méthode peu courante et suspecte.
Bien que les utilisateurs aient pu encore télécharger la version propre hwmonitor_1.63.exe via une URL directe, cela indique que les fichiers originaux sont intacts tandis que les liens de distribution ont été compromis.
Cette chaîne de téléchargement extérieure a été vérifiée par Igor’s Labs et @vxunderground, qui ont rapporté qu’un chargeur avancé utilisant des techniques connues était impliqué dans l’attaque.
Selon vxunderground, ce type de malware est loin d’être banal. « Ce malware est profondément trojanisé, se distribue à partir d’un domaine compromis (cpuid-dot-com), effectue du masquerading de fichiers, est multi-étapes, opère presque entièrement en mémoire et utilise des méthodes intéressantes pour échapper aux EDR et aux AV, comme le proxy des fonctionnalités de NTDLL à partir d’une assembly .NET », a-t-il déclaré.
Un chercheur a indiqué que le même groupe de menaces avait ciblé les utilisateurs de la solution FTP FileZilla le mois précédent, suggérant que ces attaquants s’attaquent à des utilitaires largement utilisés.
Le fichier ZIP téléchargé est signalé par 20 moteurs antivirus sur VirusTotal, bien qu’il ne soit pas clairement identifié. Certains le catégorisent comme Tedy Trojan, d’autres comme Artemis Trojan.
Certains chercheurs estiment que cette variante fausse de HWiNFO est un malware de type infostealer.
BleepingComputer a contacté CPUID pour obtenir des éclaircissements sur l’incident, la date du compromis, les versions touchées et les actions à prendre pour les utilisateurs affectés. Un porte-parole a déclaré :
« Les enquêtes sont toujours en cours, mais il semble qu’une fonction secondaire (essentiellement une API secondaire) ait été compromise pendant environ six heures entre le 9 et le 10 avril, entraînant l’affichage aléatoire de liens malveillants sur le site principal (nos fichiers originaux signés n’ont pas été compromis). La faille a été identifiée et corrigée depuis. » – CPUID
La même source a ajouté que les pirates ont frappé alors que le développeur principal était en vacances.
Actuellement, il semble que CPUID ait résolu le problème et propose désormais des versions sûres de CPU-Z et HWMonitor.