A népszerű PC-diagnosztikai oldalról szabadult el egy veszélyes trójai

A népszerű CPUID.com oldalt néhány órára feltörték, és alattomos trójai fertőzések kiindulópontjává vált. Ismeretlen támadók egy mellékes, kevésbé védett API-n keresztül törtek be, majd mintegy hat órán át ártalmas letöltési linkeket helyeztek el az oldalon. Bár az oldalon elérhető eredeti, aláírt telepítők sértetlenek maradtak, sokan azt hitték, hogy a valódi programokat töltik le. Később a fejlesztők visszaszerezték az irányítást, de addigra többen is áldozatul eshettek az átverésnek.

Trükkös trójai, új módszerekkel

A fertőzés főként négy program – a CPU-Z (2.19), HWMonitor Pro (1.57), HWMonitor (1.63) és PerfMonitor (2.04) – álcázott változatát érintette. Ezekben a telepítőkben egy ártalmatlan, aláírt .exe mellett egy CRYPTBASE.dll nevű kártékony DLL is rejtőzött, amely úgynevezett DLL-sideloading technikával vette át a vezérlést. Ez a DLL először védelmi megkerülést célzó vizsgálatokat végzett, majd titkosított parancsokat fogadott egy távoli szervertől, hogy további kártékony műveleteket hajtson végre.

Lopakodó és sokoldalú támadás

A szakértők szerint ez a kártevő nem mindennapi: hamisított fájlokkal terjesztett trójai, amely részben a memóriában fut, és fejlett módszerekkel kerüli el a védelmi rendszereket. Összetett működése miatt nehezen észlelhető, mégis a jelenleg tesztelt 20 vírusirtó közül már több is felismeri, többek között Tedy vagy Artemis trójai néven. Éppen ezért érdemes óvatosnak lenni, és figyelni a letöltési források hitelességére, különösen akkor, ha korábban a CPUID.com oldalról töltöttél le szoftvereket.

2026, adrienne, www.techradar.com alapján