- CPUID.com está comprometido para servir malware en breve
- Las descargas contaminadas utilizan la descarga de DLL con CRYPTBASE.dll
- Implementación de troyanos de última generación, marcado por 20 motores AV
CPUID.com, un popular sitio web de herramientas de diagnóstico de PC, confirmó que estaba comprometido y se utilizaba para distribuir malware.
“La investigación aún está en curso, pero parece que una característica secundaria (básicamente una API secundaria) estuvo comprometida durante aproximadamente seis horas entre el 9 y el 10 de abril, lo que provocó que el sitio web principal mostrara aleatoriamente enlaces maliciosos (nuestros archivos originales firmados no fueron comprometidos)”, dijeron los mantenedores del proyecto. Computadora pitando. La violación fue encontrada y desde entonces ha sido corregida.”
En otras palabras, el software alojado en CPUID no era venenoso: simplemente ofrecía varios enlaces de descarga. Sin embargo, las víctimas pueden pensar que están descargando software legítimo.
El artículo continúa a continuación.
No es el típico malware
Los investigadores de Kaspersky descubrieron que los enlaces de descarga de este software estaban contaminados:
CPU-Z (versión 2.19)
HWMonitor Pro (Versión 1.57)
HWMonitor (versión 1.63)
Monitor de rendimiento (Versión 2.04)
Las variantes incluían un ejecutable válido y firmado y una DLL maliciosa llamada ‘CRYPTBASE.dll’, que se utiliza para la descarga de DLL.
“La DLL maliciosa es responsable de las conexiones C2 (Comando y Control) y de la ejecución de cargas útiles adicionales. Antes de eso, también realiza una serie de comprobaciones anti-sandbox y, cuando se pasan todas las comprobaciones, se conecta al servidor C2”, dijo Kaspersky.
Al mismo tiempo, los investigadores de Igor’s Labs y vxunderground afirman que el malware es bastante sofisticado.
“Cuando comencé a tocarlo con un palo, descubrí que este no es el típico malware común y corriente”, dijo vxunderground.
“Este malware está profundamente troyanizado, se distribuye desde un dominio comprometido (cpuid-dot-com), realiza enmascaramiento de archivos, es de varias etapas, opera (casi) completamente en memoria y utiliza algunos métodos interesantes para evadir EDR y/o AV, como el proxy desde conjuntos de funcionalidad NTDNET”.
Desde entonces, el sitio web ha sido limpiado. VirusTotal muestra que actualmente 20 motores antivirus están detectando el malware: algunos lo llaman “Teddy Trojan”, otros “Artemis Trojan”. Parece ser un ladrón de información.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
