**CPUID**, l'entreprise derrière des outils populaires de surveillance matérielle tels que CPU-Z, HWMonitor, HWMonitor Pro et PerfMonitor, a confirmé que son site web (cpuid[.]com) a été compromis pendant moins de 24 heures. Durant cette période, des acteurs de la menace ont remplacé les installeurs de logiciels légitimes par des exécutables malveillants conçus pour déployer le STX RAT. ### Chronologie de l'Attaque L'incident s'est produit entre le 9 avril, vers 15h00 UTC, et le 10 avril, vers 10h00 UTC. Les URL de téléchargement des installeurs de CPU-Z et HWMonitor ont été spécifiquement ciblées, redirigeant les utilisateurs vers des sites web malveillants. ### Réponse de CPUID Dans une déclaration partagée sur X, **CPUID** a reconnu la violation, l'attribuant à un compromis d'une "fonction secondaire (essentiellement une API latérale)" qui a conduit le site principal à afficher aléatoirement des liens malveillants. L'entreprise a souligné que les fichiers originaux signés de leurs logiciels sont restés intacts. ### Sites Web Malveillants Identifiés Selon **Kaspersky**, les sites web suivants ont été utilisés pour distribuer les logiciels trojanisés : * cahayailmukreatif.web[.]id * pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev * transitopalermo[.]com * vatrobran[.]hr Les logiciels malveillants ont été distribués sous forme d'archives ZIP et d'installeurs autonomes. Ces fichiers contenaient un exécutable légitime et signé aux côtés d'un fichier DLL malveillant nommé 'CRYPTBASE.dll'. Ce DLL exploite la technique de DLL side-loading pour exécuter du code malveillant. ### Déploiement de STX RAT Le DLL malveillant initie la communication avec un serveur externe et télécharge des payloads supplémentaires après avoir effectué des vérifications anti-sandbox pour échapper à la détection. L'objectif final est de déployer le STX RAT, connu pour ses capacités HVNC (Hidden VNC) et ses fonctionnalités étendues de vol d'informations. Selon l'analyse d'**eSentire**, STX RAT offre un large ensemble de commandes pour le contrôle à distance, les activités post-exploitation et l'exécution de payloads de suivi, y compris l'exécution en mémoire de EXE/DLL/PowerShell/shellcode, le proxy/tunneling inversé et l'interaction avec le bureau. ### Connexion à des Campagnes Précédentes L'adresse du serveur de commande et de contrôle (C2) et la configuration de connexion utilisées dans cette attaque ont été précédemment observées dans une campagne impliquant des installeurs **FileZilla** trojanisés hébergés sur de faux sites web. Cette activité antérieure, documentée par **Malwarebytes**, impliquait également le déploiement du STX RAT. ### Impact et Victimes **Kaspersky** a identifié plus de 150 victimes, principalement des particuliers. Cependant, des organisations dans des secteurs tels que la vente au détail, la fabrication, le conseil, les télécommunications et l'agriculture ont également été touchées. La majorité des infections se situent au Brésil, en Russie et en Chine. ### Attribution et Posture de Sécurité **Kaspersky** a souligné que la réutilisation par les attaquants de la même chaîne d'infection et des mêmes noms de domaine C2 que lors de la campagne précédente de **FileZilla** a permis une détection plus rapide de l'attaque par arrosage. Ils ont évalué les capacités globales de développement de logiciels malveillants, de déploiement et de sécurité opérationnelle de l'acteur de la menace comme étant "assez faibles".