**CPUID**, a empresa por trás de ferramentas populares de monitoramento de hardware como CPU-Z, HWMonitor, HWMonitor Pro e PerfMonitor, confirmou que seu site (cpuid[.]com) foi comprometido por menos de 24 horas. Durante esse período, atores de ameaça substituíram instaladores de software legítimos por executáveis maliciosos projetados para implantar o STX RAT. ### Cronologia do Ataque O incidente ocorreu entre aproximadamente 9 de abril, 15:00 UTC, e 10 de abril, 10:00 UTC. URLs de download para instaladores do CPU-Z e HWMonitor foram especificamente visados, redirecionando usuários para sites maliciosos. ### Resposta da CPUID Em um comunicado compartilhado no X, a **CPUID** reconheceu a violação, atribuindo-a a um comprometimento de um "recurso secundário (basicamente uma API lateral)" que levou o site principal a exibir links maliciosos aleatoriamente. A empresa enfatizou que os arquivos originais assinados de seu software permaneceram inalterados. ### Sites Maliciosos Identificados De acordo com a **Kaspersky**, os seguintes sites foram usados para distribuir o software trojanizado: * cahayailmukreatif.web[.]id * pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev * transitopalermo[.]com * vatrobran[.]hr O software malicioso foi distribuído como arquivos ZIP e instaladores independentes. Esses arquivos continham um executável legítimo e assinado ao lado de um arquivo DLL malicioso chamado 'CRYPTBASE.dll'. Este DLL utiliza a técnica de side-loading de DLL para executar código malicioso. ### Implantação do STX RAT O DLL malicioso inicia a comunicação com um servidor externo e baixa payloads adicionais após realizar verificações anti-sandbox para evadir a detecção. O objetivo final é implantar o STX RAT, conhecido por suas capacidades HVNC (Hidden VNC) e extensivos recursos de roubo de informações. De acordo com a análise da **eSentire**, o STX RAT oferece um amplo conjunto de comandos para controle remoto, atividades pós-exploração e execução de payloads subsequentes, incluindo execução em memória de EXE/DLL/PowerShell/shellcode, proxy reverso/tunelamento e interação com a área de trabalho. ### Conexão com Campanhas Anteriores O endereço do servidor command-and-control (C2) e a configuração de conexão usados neste ataque foram observados anteriormente em uma campanha envolvendo instaladores trojanizados do **FileZilla** hospedados em sites falsos. Essa atividade anterior, documentada pela **Malwarebytes**, também envolveu a implantação do STX RAT. ### Impacto e Vitimologia A **Kaspersky** identificou mais de 150 vítimas, principalmente indivíduos. No entanto, organizações em setores como varejo, manufatura, consultoria, telecomunicações e agricultura também foram afetadas. A maioria das infecções está localizada no Brasil, Rússia e China. ### Atribuição e Postura de Segurança A **Kaspersky** destacou que a reutilização pelos atacantes da mesma cadeia de infecção e nomes de domínio C2 da campanha anterior do **FileZilla** permitiu uma detecção mais rápida do ataque de watering hole. Eles avaliaram as capacidades gerais de desenvolvimento de malware, implantação e segurança operacional do ator de ameaça como "bastante baixas".