وبسایت CPUID که مرجع دانلود نرمافزارهای محبوبِ CPU-Z و HWMonitor است، اخیراً هدف یک رخنه امنیتی خطرناک قرار گرفت. هکرها با نفوذ به بخش مدیریت سایت، لینکهای دانلود رسمی را تغییر دادند و نسخههای آلوده به بدافزار را جایگزین آنها کردند.
این نرمافزارها که به صورت رایگان عرضه شدهاند و دقت بالایی در نمایش مشخصات سختافزاری کامپیوتر دارند، میلیونها کاربر در سراسر جهان دارند. دقیقاً به همین دلیل، هدفی ایدهآل برای توزیع بدافزار بودهاند.
نفوذ در غیاب مدیران؛ ۱۹ ساعتِ بحرانی
بر اساس تحلیل «کسپرسکی» (Kaspersky)، این آلودگی در یک بازه زمانی ۱۹ ساعته در روزهای ۹ و ۱۰ آپریل رخ داده؛ دقیقاً زمانی که مدیران سایت در تعطیلات به سر میبردند و نظارتها بر سرور به حداقل رسیده بود!
طبق بررسیهای کسپرسکی نسخههای آلوده شامل این نرمافزارها بودند:
- برنامه CPU-Z نسخه ۲.۱۹
- برنامه HWMonitor Pro نسخه ۱.۵۷
- برنامه HWMonitor نسخه ۱.۶۳
- برنامه PerfMonitor نسخه ۲.۰۴
تمام کاربرانی که در این برهه اقدام به دانلود نرمافزارها کردهاند، قربانی حمله شدهاند.
بدافزار چگونه عمل میکند؟
هکرها از تکنیک شناختهشدهای به نام «بارگذاری جانبی DLL» استفاده کردند. در این حمله، کاربر در ظاهر یک فایل اجرایی سالم دانلود میکند، اما در کنارش فایل مخربی به نام CRYPTBASE.dll هم وارد سیستم میشود. به محض اجرای برنامه، این فایل مخرب فراخوانی میشود و کنترل سیستم را در دست میگیرد.
بدافزار اصلی این حمله هم تروجان خطرناکی از نوع RAT (دسترسی از راه دور) به نام STX است. این بدافزار نه تنها اطلاعات حساس و رمزهای عبور را میدزدد، بلکه به هکر اجازه میدهد از راه دور دستورات مختلف را روی سیستم قربانی اجرا کند.
بررسی پلتفرم VirusTotal نشان میدهد در حال حاضر حداقل ۲۰ آنتیویروس مختلف این فایل DLL را به عنوان تهدید شناسایی میکنند.
در آخر: برای حفظ امنیت چه باید کرد؟
به گفته CPUID، مشکل اکنون برطرف شده و لینکهای فعلی کاملاً ایمن هستند، اما چند توصیه برای کاربرانی داشته که این برنامهها را در آن بازهی ۱۹ ساعته دانلود کردهاند:
- بلافاصله فایلهای قبلی را حذف کنید؛
- سیستم را با یک آنتیویروس بهروز اسکن کنید؛
- آخرین نسخه نرمافزار را مجدداً از وبسایت رسمی دریافت کنید؛
- رمزهای عبور حسابهای مهم را تغییر دهید.
