Un sito compromesso ha distribuito per 19 ore installer trojanizzati di strumenti usati da decine di milioni di utenti per monitorare le prestazioni hardware. Ecco la ricostruzione dell'attacco.
Autore: Redazione SecurityOpenLab
Chiunque abbia scaricato CPU-Z, HWMonitor, HWMonitor Pro o PerfMonitor dal sito ufficiale cpuid.com tra il 9 e il 10 aprile potrebbe aver installato una backdoor. I link di download erano stati rimpiazzati con URL che puntavano a quattro siti controllati dagli attaccanti, su cui erAno distribuite versioni trojanizzate degli installer originali. A ricostruire l'accaduto è il Global Research & Analysis Team (GReAT) di Kaspersky, che ha pubblicato l'analisi tecnica completa dell’accaduto. CPU-Z, HWMonitor e più in generale i prodotti della famiglia CPUID sono tra le utility di diagnostica hardware più diffuse al mondo e proprio la loro popolarità è il motivo per cui gli attaccanti hanno deciso di usarli come cavalli di Troia.
L'attacco rientra nella categoria degli attacchi alla supply chain di tipo watering hole: gli attaccanti non hanno compromesso il codice sorgente né i binari firmati originali, che sono rimasti intatti. Si sono limitati (per così dire) a modificare una API secondaria del sito cpuid.com, sostituendo i link di download con URL che puntavano a quattro domini di distribuzione controllati dagli attaccanti. Il risultato è che il sito ufficiale continuava ad avere l'aspetto normale; i file serviti, però, non erano quelli legittimi.
Questa distinzione tecnica è importante per capire perché l'attacco ha funzionato: gli utenti si erano collegati al sito ufficiale, quindi non avevano motivo di sospettare nulla. Peraltro, i file scaricati avevano nomi plausibili, provenivano da quello che sembrava essere il canale corretto e gli installer si avviavano regolarmente. La firma digitale dell'eseguibile CPUID era autentica, perché l'eseguibile legittimo era lì, incluso nel pacchetto. Il problema era ciò che veniva servito insieme.
Ogni pacchetto infetto conteneva due componenti: un eseguibile CPUID legittimo e firmato, e una DLL dannosa chiamata Cryptbase.dll, posizionata nella stessa cartella dell'eseguibile. Quando l'utente avviava l'installer, Windows caricava automaticamente la DLL grazie a una tecnica nota come DLL sideloading: il sistema operativo cerca le librerie nella cartella dell'applicazione prima di cercarle nelle directory di sistema. Da qualche tempo gli attaccanti stanno sfruttando spesso questo comportamento a loro favore.
Prima di procedere, Cryptbase.dll verificava di non essere in esecuzione all’interno di un ambiente di analisi. Se i controlli venivano superati, la DLL si connetteva tramite protocollo HTTP a un server di comando e controllo e scaricava STX RAT, una backdoor completa documentata dai ricercatori di eSentire. Il malware operava quasi interamente in memoria per ridurre al minimo le tracce su disco, e utilizzava tecniche specifiche per eludere i sistemi EDR e i software antivirus tradizionali.
STX RAT non è uno strumento sofisticato, ma è efficace: consente agli attaccanti di prendere il controllo da remoto del sistema compromesso e di sottrarre dati sensibili, tra cui le credenziali dei browser, i portafogli di criptovalute e le password dei client FTP. La backdoor è stata distribuita senza modifiche rispetto alla versione già documentata pubblicamente, il che ha permesso di individuarla direttamente con le regole YARA già esistenti e di bloccarla di conseguenza.
Già nelle prime ore dopo la scoperta, i ricercatori della community avevano notato alcune somiglianze con una campagna del marzo 2026 che sfruttava falsi installer di FileZilla per distribuire malware. L'analisi di Kaspersky GReAT ha confermato il collegamento diretto fra i due casi: l'indirizzo del server di comando e controllo e il formato della configurazione incorporata nei campioni erano identici in entrambe nelle campagne, a conferma che lo stesso threat actor, con la stessa infrastruttura, aveva semplicemente cambiato bersaglio.
Molti ricercatori hanno indicato in maniera indipendente un threat actor di lingua russa a orchestrare la campagna. Questo dettaglio, unito alla presenza dell'installer in russo rilevato dalle prime vittime e all'uso di Inno Setup con wrapper russo, è coerente con le attribuzioni emerse da più fonti indipendenti.
Complessivamente, Kaspersky GReAT ha identificato oltre 150 vittime confermate. La maggior parte sono utenti privati, in linea con la natura consumer del software CPUID. Le organizzazioni colpite operano nei settori del retail, manufacturing, consulenza, telecomunicazioni e agricoltura. I paesi con il maggior numero di infezioni confermate sono Brasile, Russia e Cina.