CPU-Z dan HWMonitor diretas untuk menyebarkan malware

 (theregister.com)
3 poin oleh GN⁺ 9 hari lalu | 1 komentar | Bagikan ke WhatsApp
  • Tautan unduhan HWMonitor dan CPU-Z, utilitas sistem populer, sempat dimanipulasi sehingga malware didistribusikan
  • Penyerang menguasai sebagian backend situs CPUID dan secara acak menyajikan file berbahaya alih-alih installer resmi
  • Versi berbahaya menyertakan CRYPTBASE.dll palsu, berkomunikasi dengan server command-and-control, dan menyuntikkan payload .NET yang berjalan di memori melalui PowerShell
  • CPUID mengakui insiden tersebut dan menyatakan perbaikan selesai dalam 6 jam, serta file asli yang ditandatangani tidak dirusak
  • Insiden ini menunjukkan kelanjutan dari serangan rantai pasok, di mana kerugian dapat ditimbulkan hanya melalui jalur distribusi tanpa memodifikasi kode

Situs CPUID diretas, unduhan HWMonitor diganti dengan malware

  • Situs CPUID sempat diretas sehingga tautan unduhan HWMonitor dan CPU-Z dimanipulasi menjadi jalur distribusi malware
    • Penyerang menguasai sebagian backend dan secara acak mengganti tautan normal dengan file berbahaya
    • Sejumlah pengguna melaporkan bahwa file installer memicu peringatan antivirus atau tampil dengan nama file yang tidak normal
  • Ditemukan kasus tautan pembaruan HWMonitor 1.63 mengarah ke file yang salah bernama “HWiNFO_Monitor_Setup.exe”, sehingga dicurigai terjadi manipulasi di tahap hulu
    • Banyak pengguna di komunitas seperti Reddit menyadari masalah ini dan membagikan peringatan
  • CPUID kemudian secara resmi mengakui insiden tersebut, dan menjelaskan bahwa yang diretas selama sekitar 6 jam bukan build perangkat lunak itu sendiri melainkan API pendukung (komponen backend)
    • Insiden terjadi antara 9 hingga 10 April dan kini telah diperbaiki
    • CPUID menegaskan bahwa file asli yang ditandatangani tidak dirusak
  • File installer berbahaya menargetkan pengguna HWMonitor 64-bit dan menyertakan CRYPTBASE.dll palsu yang tampak seperti komponen Windows
    • DLL tersebut terhubung ke server command-and-control (C2) untuk mengunduh payload tambahan
    • Malware dijalankan di dalam memori menggunakan PowerShell agar tidak meninggalkan jejak di disk, lalu mengompilasi payload .NET pada sistem korban dan menyuntikkannya ke proses lain
    • Juga diamati adanya akses ke kredensial yang tersimpan di browser melalui antarmuka COM Chrome IElevation
  • Hasil analisis menunjukkan serangan ini menggunakan infrastruktur yang sama dengan kampanye sebelumnya yang menargetkan pengguna FileZilla
    • Menurut analisis vx-underground, ada indikasi bahwa kelompok penyerang yang sama telah menyalahgunakan beberapa jaringan distribusi perangkat lunak
  • CPUID menyatakan masalah telah diselesaikan, tetapi jalur akses API dan jumlah pengguna yang terinfeksi masih belum diungkap
    • Insiden ini dinilai sebagai contoh bahwa penyerang dapat menimbulkan dampak hanya melalui jalur distribusi tanpa memodifikasi kode itu sendiri

Bacaan terkait

1 komentar

 
GN⁺ 9 hari lalu
Opini Hacker News

  • Pemelihara CPU-Z, Sam, menjelaskan situasinya secara langsung. Saat ini ia sedang memeriksa server sementara Franck tidak ada, dan menurut tautan VirusTotal, file di server dipastikan normal. Namun, beberapa tautan telah dimanipulasi sehingga mengarah ke installer berbahaya, dan terekspos selama sekitar 6 jam (09/04~10/04 GMT). Saat ini tautan sudah dipulihkan dan situs dialihkan ke mode hanya-baca untuk investigasi lebih lanjut

    • Sebagai orang yang dulu pernah menulis ulasan CPU, saya bisa menjamin bahwa Sam dan Franck sama-sama sosok yang bisa dipercaya. Franck adalah tokoh inti di CPUID, dan Sam juga dikenal lewat Canard PC serta proyek Memtest
    • Syukurlah masalahnya cepat teridentifikasi dan tautannya segera diperbaiki. Awalnya saya justru mengira banner iklan di cpuid.com yang menjadi sumber masalah. Di halaman unduhan ada terlalu banyak tombol palsu seperti “Download Now” dan “Install for Windows 10/11”. Karena itu, dalam situasi seperti ini saya lebih memilih perintah winget install CPUID.CPU-Z
    • Dalam beberapa minggu terakhir, ini sudah ketiga kalinya saya melihat notifikasi ketersediaan disalahgunakan di Discord atau obrolan lain untuk melakukan serangan timing
    • Saya penasaran bagaimana serangan kali ini dilakukan

  • Ada kasus ketika Windows Defender langsung mendeteksi virus setelah diunduh, tetapi diabaikan karena biasanya terlalu sering menghasilkan alarm palsu. False positive seperti ini punya efek samping membuat kewaspadaan keamanan jadi tumpul

    • Saya rasa Microsoft juga punya sebagian tanggung jawab. Defender memblokir file crack hanya dengan alasan seperti “Win32/Keygen”, sehingga pengguna terbiasa menonaktifkan antivirus. Akibatnya, malware sungguhan pun bisa ikut lolos
    • Distribusi berbasis source atau reproducible builds bisa membantu mengurangi masalah seperti ini
    • Untuk mencegah situasi seperti ini, dibutuhkan app store Windows atau package manager yang dapat dipercaya

  • Ada sindiran yang menyebut orang-orang yang langsung memasang software versi baru sebagai “tameng manusia

    • Namun CPU-Z atau HWMonitor memang sering dipakai segera setelah memasang PC baru untuk memeriksa hardware. Ini bukan seperti menguji update eksperimental ala paket npm, melainkan sekadar mengambil versi terbaru
    • Akan bagus jika ada alat yang memberi tahu pengguna reputasi keamanan suatu software. Crowdstrike atau alat SAST biasanya hanya mendeteksi setelah pemasangan
    • Tetapi versi yang sudah berumur sebulan pun tidak menjamin aman. Penyerang bisa saja baru mulai bertindak jahat beberapa bulan kemudian

  • Yang terdampak kali ini adalah HWMonitor; halaman resmi dan HWInfo adalah program yang berbeda. Topik yang sama juga sedang dibahas di Reddit

  • File installer itu sendiri normal, tetapi tautan di situs dimanipulasi sehingga mengarah ke executable berbahaya di Cloudflare R2. Menarik untuk menunggu analisis penyebabnya nanti

    • Ini lebih mirip serangan watering hole daripada serangan supply chain. Bagi developer, memakai package manager seperti winget atau chocolatey lebih aman

  • Bagi pengguna Windows, instalasi lewat winget relatif lebih menguntungkan. Manifest resmi melakukan verifikasi tanda tangan, dan instalasi aman bisa dilakukan dengan perintah winget install --exact --id CPUID.CPU-Z

    • Namun WinGet bukan perlindungan yang sempurna. Proses verifikasinya dangkal, dan jika sumber aslinya sudah lebih dulu dikompromikan, update berbahaya tetap bisa lolos. Pada praktiknya ini seperti MajorGeeks versi CLI
    • Hanya mengandalkan pemeriksaan SHA di manifest sulit mencegah manipulasi. Saya penasaran bagaimana verifikasi tanda tangannya bekerja
    • Meski begitu, Winget terus membaik. Misalnya, saat tautan situs resmi ImageMagick rusak, unduhan lewat Winget tetap berjalan normal
    • Berkat package manager, dampak insiden pembajakan Notepad++ baru-baru ini juga bisa dikurangi. Jika developer mendistribusikan sendiri, mereka harus lebih memerhatikan keamanan infrastruktur seperti pengelolaan PKI dan distribusi kunci tanda tangan

  • Saya khawatir apakah versi yang dipasang lewat Winget (v1.63, v2.19) aman. Saya sedang memeriksa manifest GitHub dan tautan Winstall

  • Kelihatannya grup yang sama yang menyerang FileZilla bulan lalu juga terlibat kali ini. Bedanya, kali ini bukan domain palsu yang dipakai, melainkan lapisan API situs resmi yang diretas sehingga situs normal tersebut mendistribusikan file berbahaya

    • Sebenarnya FileZilla sudah lama punya kontroversi bundel iklan dan spyware. Bisa jadi itu sendiri sudah merupakan ancaman

  • Rincian teknis tambahan dirangkum dalam posting vx-underground

  • Serangan ini merupakan upaya canggih yang menargetkan utilitas yang dipercaya pengguna teknis, dan permukaan serangan utamanya bukan binary itu sendiri, melainkan lapisan API yang membangkitkan tautan unduhan