Letzte Woche wurde die Website des bekannten Hardware-Entwicklers CPUID von Hackern angegriffen. Die Hacker ersetzten die Download-Links mehrerer Hardware-Überwachungssoftware wie CPU-Z und HWMonitor. Wenn Benutzer die von den Hackern abgelegten bösartigen Versionen ausführen, werden sie mit Fernzugriffs-Trojanern infiziert. Fairerweise muss man sagen, dass Software wie CPU-Z zwar sehr bekannt ist, das CPUID-Team jedoch kein großes Unternehmen ist und daher nicht in der Lage ist, detaillierte Sicherheitsuntersuchungen durchzuführen. Daher hängen die Details weiterhin von Berichten anderer Sicherheitsunternehmen wie Kaspersky ab.

Es sollte eine ganze Reihe infizierter Benutzer geben:

Hardware-Erkennungs- oder Überwachungssoftware wie CPU-Z und HWMonitor werden normalerweise von professionellen Benutzern verwendet. Die Zahl der Nutzer, die solche Software aktiv installieren, dürfte nicht sehr groß sein, dennoch hat Kaspersky mindestens 150 Angriffe festgestellt.

Angesichts der aktuellen Nutzungsrate der Kaspersky-Sicherheitssoftware auf der ganzen Welt gehen wir vorsichtig davon aus, dass die tatsächliche Zahl der infizierten Benutzer Zehntausende beträgt, wobei die meisten Infektionsfälle in Brasilien, Russland und China auftreten.

Der Angriff ereignete sich von 15:00 UTC am 9. April 2026 bis 10:00 UTC am 10. April (Inländische Zeit: 23:00 Uhr am 9. April 2026 bis 18:00 Uhr am 10. April 2026, insgesamt 19 Stunden, nicht die zuvor von CPUID geschätzten 6 Stunden).

Wenn Sie im oben genannten Zeitraum Software wie CPU-Z über die CPUID-Website heruntergeladen haben, wird empfohlen, die Daten sofort zu sichern und das System neu zu installieren. Am besten rotieren Sie alle verschiedenen Schlüssel und führen mit einer Software wie Kaspersky einen vollständigen Scan der Sicherungsdateien durch.

Faulheit von Hackern führt zu geringerer Infektionszahl:

Es ist erwähnenswert, dass die Rückverfolgbarkeit dieses Angriffs sehr einfach ist, da der Hacker den Domänennamen wiederverwendet hat, der zuvor eine bösartige Version von FileZilla veröffentlicht hat, sodass es leicht ist, ihn der Hackergruppe im Zusammenhang mit STX RAT zuzuordnen.

STX RAT ist ein Fernzugriffstrojaner mit HVNC (Advanced Virtual Network Control) und leistungsstarken Funktionen zum Diebstahl von Informationen. Es verfügt über Funktionen wie Fernsteuerung, anschließende Nutzlastausführung und Vorgänge nach der Ausnutzung, wie z. B. die Ausführung von EXE/DLL/PowerShell/Shellcode im Speicher. Es kann auch einen Reverse-Proxy einrichten und Desktop-Interaktionen durchführen.

Das Problem ist, dass die Hacker faul waren und keinen neuen Domainnamen registrierten. Bei dem FileZilla-Vergiftungsvorfall (die Software selbst wurde nicht gehackt, aber die Hacker veröffentlichten die vergiftete Version über das Internet) wurde der entsprechende C2-Domänenname von der Sicherheitsfirma aufgezeichnet.

Daher kann Sicherheitssoftware wie Kaspersky bösartige Domänennamen direkt identifizieren und abfangen. Theoretisch sollten Benutzer, die Antivirensoftware wie Kaspersky installieren, abgefangen werden, wenn die schädliche Version veröffentlicht wird, während Benutzer, die keine Sicherheitssoftware installieren, möglicherweise infiziert werden.

Kaspersky sagte: Die Gesamtfähigkeit der Hacker, die hinter diesem Angriff steckten, in den Bereichen Entwicklung, Einsatz und Einsatz von Malware war recht gering, was es uns ermöglichte, den Angriff in einem frühen Stadium zu erkennen und zu blockieren.

Erfahren Sie mehr:

https://securelist.com/tr/cpu-z/119365/