Trang web chính thức của CPUID – đơn vị phát triển các công cụ kiểm tra phần cứng quen thuộc như CPU-Z và HWMonitor – vừa ghi nhận một sự cố bảo mật nghiêm trọng. Tin tặc đã can thiệp và thay đổi các liên kết tải xuống trên trang chủ, khiến người dùng có nguy cơ tải phải tệp tin chứa mã độc. Sự việc khiến một số người dùng tải nhầm phần mềm độc hại trong một thời gian ngắn trước khi được phát hiện và xử lý.
Theo cảnh báo từ Kaspersky, trang chủ của CPUID vừa trở thành mục tiêu của một vụ tấn công chiếm quyền điều khiển liên kết tải xuống. Cụ thể, tin tặc đã khai thác lỗ hổng trong thành phần API để thay thế các bản cài đặt CPU-Z và HWMonitor chuẩn bằng các tệp tin không hợp lệ lưu trữ trên dịch vụ Cloudflare R2. Điều này dẫn đến tình trạng người dùng bị chuyển hướng tới nguồn tải nguy hiểm, trực tiếp đe dọa đến an toàn thông tin của thiết bị ngay khi nhấn nút tải về.
Kaspersky cho biết thời gian bị ảnh hưởng kéo dài từ 15h ngày 9-4 (UTC) đến khoảng 10h ngày 10-4 (UTC). Trong khoảng thời gian này, một số phiên bản phần mềm bị tác động gồm CPU-Z 2.19, HWMonitor 1.63, HWMonitor Pro 1.57 và PerfMonitor 2.04. Các báo cáo cũng ghi nhận sự cố kéo dài trong vài giờ trước khi được khắc phục.
Theo phân tích kỹ thuật, các gói cài đặt bị thay đổi thường bao gồm một tệp thực thi hợp lệ đi kèm với một thư viện động có tên “CRYPTBASE.dll”. Thư viện này có thể được sử dụng để tải thêm mã từ bên ngoài sau khi người dùng chạy chương trình, qua đó thiết lập kết nối tới máy chủ điều khiển từ xa và tiếp tục tải các thành phần khác.
Một số mẫu phần mềm còn thực hiện các bước kiểm tra nhằm tránh bị phát hiện trong môi trường phân tích. Các kỹ thuật như nạp thư viện động (DLL sideloading), giả mạo chức năng hệ thống và né tránh các giải pháp bảo mật cũng được ghi nhận.
Dữ liệu từ VirusTotal cho thấy các tệp liên quan đã bị nhiều công cụ bảo mật cảnh báo, với một số nhận diện là trojan. Một số phân tích cũng cho thấy các biến thể này có khả năng thu thập thông tin người dùng.
Theo các phân tích bảo mật, mã độc cuối cùng được triển khai trong chuỗi tấn công là một biến thể của STX RAT, có khả năng điều khiển hệ thống và thu thập dữ liệu. Tuy nhiên, mức độ ảnh hưởng cụ thể và số lượng người dùng bị tác động hiện chưa được công bố chi tiết.
CPU-Z và HWMonitor là các công cụ được sử dụng rộng rãi để theo dõi thông số phần cứng máy tính. Việc liên kết tải chính thức bị thay đổi làm tăng nguy cơ người dùng tải phải phần mềm không an toàn khi truy cập website của nhà phát triển.
Hiện tại, CPUID cho biết đã khắc phục sự cố và khôi phục liên kết tải xuống về trạng thái bình thường. Người dùng đã tải phần mềm trong khoảng thời gian xảy ra sự cố được khuyến cáo kiểm tra lại hệ thống, quét mã độc và thay đổi các thông tin đăng nhập quan trọng.
Một số phân tích cũng ghi nhận hạ tầng điều khiển trong sự cố có điểm tương đồng với các chiến dịch tấn công phần mềm trước đó, tuy nhiên hiện chưa có xác nhận chính thức về nhóm đứng sau. CPUID cho biết đã khôi phục liên kết an toàn. Người dùng đã tải phần mềm trong khung giờ trên được khuyến cáo quét mã độc hệ thống và thay đổi các thông tin đăng nhập quan trọng để đảm bảo an toàn.
Sự việc cho thấy quá trình phân phối phần mềm có thể bị ảnh hưởng nếu không được kiểm soát chặt chẽ. Người dùng cần thận trọng khi cài đặt ứng dụng, kể cả khi tải từ nguồn chính thức.