CPU-Z och HWMonitor spred skadlig kod efter hackerattack

Hackare kapade nedladdningssidan för de populära verktygen CPU-Z och HWMonitor. Under cirka sex timmar spreds infekterade installationsfiler i stället för rena program. Många användare hann ladda ner filerna innan företaget stoppade attacken.

• Hackare tog över en del av CPUID:s webbplats.
• Falska installationsfiler spreds i cirka sex timmar.
• Skadlig kod gömdes tillsammans med äkta programfiler.
• Angreppet stal sparade lösenord i webbläsare.
• Företaget stängde sidan och åtgärdade felet.
• Den som laddade ner 9–10 april bör installera om Windows och byta alla lösenord.

Så gick attacken till

CPUID utvecklar verktygen CPU-Z och HWMonitor. Många använder dem för att få information om datorns hårdvara och temperaturer.

En Reddit-användare upptäckte att något var fel vid uppdatering av HWMonitor 1.63. Webbplatsen erbjöd en fil med namnet “HWiNFO_Monitor_Setup.exe”. Windows Defender varnade direkt. När filen startades visades ett installationsfönster på ryska. Då stod det klart att filen inte var äkta.

CPUID bekräftade senare att även CPU-Z påverkades. En infekterad zip-fil innehöll de riktiga programfilerna. Hackarna hade lagt till en falsk fil med namnet “CRYPTBASE.dll”.

En DLL-fil är en hjälpfiler som program använder för att fungera. Windows laddar ofta in sådana filer automatiskt när ett program startar. Om en angripare byter ut en DLL-fil mot en skadlig version körs den skadliga koden utan att användaren märker det.

När användaren startade CPU-Z laddade programmet den falska DLL-filen först. På så sätt fick angriparna in sin kod i datorns minne.

Själva programfilerna hos CPUID ändrades inte. Hackarna tog i stället över en sido-API på webbplatsen och ändrade nedladdningslänkarna.

Ett API är en teknisk lösning som låter olika system kommunicera med varandra. En webbplats använder ofta API:er för att hämta eller visa innehåll. Om någon får kontroll över ett API kan de styra information eller länkar utan att röra huvudsystemet.

Attacken liknar en så kallad supply chain-attack. Det betyder att angripare attackerar leveranskedjan runt en produkt i stället för själva produkten. I stället för att hacka källkoden ändrar de hur programmet distribueras till användare.

Vad gjorde skadliga koden?

Den skadliga koden identifierades som en variant av Alien RAT.

En RAT står för Remote Access Trojan. Det är ett program som ger en angripare fjärrkontroll över en infekterad dator. Angriparen får tillgång till filer, lösenord och annan känslig information.

Skadliga koden arbetade främst i datorns minne. Metoden gör det svårare för antivirusprogram att upptäcka angreppet. Programmet använde PowerShell för att hämta instruktioner från en extern server.

Målet var att stjäla sparade uppgifter i webbläsare. Angreppet riktade in sig på Google Chrome. Det försökte dekryptera sparade lösenord och stjäla inloggningstokens.

En inloggningstoken är en digital nyckel som håller användaren inloggad på en webbplats. Om någon stjäl den får personen tillgång till kontot utan lösenord.

Vad bör drabbade göra?

Attacken pågick den 9 och 10 april. Den som laddade ner CPU-Z eller HWMonitor under perioden bör räkna med att datorn är infekterad.

Säkerhetsexperter ger följande råd:

• Installera om Windows helt.
• Logga ut från alla aktiva webbsessioner.
• Byt samtliga lösenord, särskilt för e-post och bank.

CPUID stängde snabbt ner webbplatsen, identifierade den kapade API-delen och återställde de riktiga nedladdningslänkarna.

Frågor och svar