上周知名硬件开发商CPUID网站遭到黑客攻击,黑客替换CPU-Z和HWMonitor等多款硬件监控软件的下载链接,当用户运行黑客投放的恶意版本时就会感染远程访问木马。平心而论,CPU-Z等软件虽然非常知名,但CPUID团队并非大公司所以也没有能力进行详细安全调查,所以详细情况还是得看其他安全公司发布的报告,比如卡巴斯基。
被感染的用户应该并不少:
CPU-Z和HWMonitor这种硬件检测或监控软件的使用群体通常都是专业用户,主动安装此类软件的用户数量应该不是非常多,但即便如此卡巴斯基也检测到至少150次攻击。
考虑到卡巴斯基系列安全软件目前在全球的使用率,我们保守猜测实际被感染的用户应该也有数万名,大部分感染事件都发生在巴西、俄罗斯和中国。
此次攻击发生时间在2026年4月9日15:00UTC~4月10日10:00UTC(国内时间:2026年4月9日23:00到2026年4月10日18:00,共19小时,并非此前CPUID预估的6小时)。
如果你在以上时间段内通过CPUID网站下载过CPU-Z等软件,建议立即备份数据重装系统,最好将各种密钥全部轮换,以及使用卡巴斯基等软件对备份文件执行全盘扫描。
黑客偷懒导致感染数量下降:
值得注意的是这次攻击溯源非常简单,因为黑客复用此前投放FileZilla恶意版本的域名,因此很容易将其归因到STXRAT相关的黑客团体。
STXRAT是个具备HVNC(高级虚拟网络控制)和强大信息窃取功能的远程访问木马,具备远程控制、后续有效载荷执行和后渗透操作等功能,例如在内存中执行EXE/DLL/PowerShell/shellcode等,还可以建立反向代理和进行桌面交互等。
问题就在于黑客偷懒没有注册新域名,在FileZilla投毒事件中(该软件本身没有被黑,只是黑客通过互联网投放带毒版本)相关C2域名已经被安全公司记录。
因此诸如卡巴斯基等安全软件都可以直接识别到恶意域名并进行拦截,理论上安装卡巴斯基等杀毒软件的用户应该在恶意版本时就被拦截,而没有安装安全软件的用户可能会中招。
卡巴斯基表示:此次攻击背后的黑客的整体恶意软件开发、部署和运维能力都相当低下,这让我们能够在攻击初期就检测并进行拦截。
了解更多:
https://securelist.com/tr/cpu-z/119365/
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】