Bilgisayar donanımını izleme ve sistem bilgileri alma konusunda popüler araçlar olan HWMonitor ve CPU-Z'nin geliştiricisi CPUID'nin web sitesi, kimliği belirsiz saldırganların hedefi oldu. Saldırı sonucunda, bu araçları indirmeye çalışan kullanıcılar geçerli uygulamalar yerine zararlı yazılımlarla dolu dosyalar indirdi.
Güvenlik araştırmalarıyla bilinen bir platformdan edinilen bilgilere göre, saldırganlar cpuid.com adresini ele geçirdi. Kullanıcılar, araçların en son sürümlerini indirmeye çalıştıklarında, daha önce de bir zararlı yazılım kampanyasında kullanılan bir bağlantı üzerinden sunulan değiştirilmiş bir yükleyici ile karşılaştılar. Bu durum, indirilen HWMonitor 1.63 sürümü için hazırlanan hwmonitor_1.63.exe dosyasının, HWiNFO_Monitor_Setup.exe adında zararlı bir dosya ile değiştirilmesine neden oldu.
Bu zararlı yazılımın temel amacının, özellikle Google Chrome'un IElevation COM arayüzünü hedef alarak kaydedilmiş tarayıcı şifrelerini ele geçirmek ve şifreleri çözmek olduğu belirtiliyor. Güvenlik platformu tarafından yapılan analizlerde, zararlı yazılımın oldukça karmaşık olduğu ve son tespit ve yanıt (EDR) ile antivirüs sistemlerinden kaçınmak için ilginç yöntemler kullandığı vurgulanıyor. Saldırganlar, PC meraklıları ve profesyoneller tarafından yaygın olarak kullanılan araçlar üzerinden bir tedarik zinciri saldırısı gerçekleştirmiş oldu.
Bu araçların geliştiricisi, söz konusu güvenlik ihlaliyle ilgili soruşturmanın devam ettiğini belirtti. Yapılan ilk incelemelere göre, yaklaşık altı saat boyunca yan bir API'nin ele geçirildiği ve bu durumun web sitesinin zararlı dosyalara yönlendirilmesine yol açtığı düşünülüyor. Ancak geliştirici, CPUID'nin imzaladığı orijinal dosyaların güvende olduğunu ve sorunun artık giderildiğini açıkladı.
HWMonitor ve CPU-Z'nin geniş kullanıcı kitlesi göz önüne alındığında, bu kısa süre zarfında birçok kişinin zararlı dosyaları indirmiş olması muhtemel. Windows Defender'ın genellikle bu tür yazılımları kurulumdan önce engellediği ve bu engeli aşanların da şüpheli Rusça kurulum programını fark etmiş olabileceği düşünülüyor. Yine de, bu tuzağa düşüp sistemini ve kayıtlı bilgilerini tehlikeye atan küçük bir kullanıcı grubu olma ihtimali mevcut.
Tedarik zinciri saldırıları, son dönemlerde zararlı yazılım yayma yöntemi olarak giderek daha fazla popülerlik kazanıyor. Benzer şekilde, yakın geçmişte popüler JavaScript kütüphanelerinden biri de hedef alınarak platformlar arası uzaktan erişim trojanları dağıtılmıştı. Hatta güncellenmiş sunucular bile tehlikeye girebiliyor; örneğin, bir dönem Notepad++ uygulamasının dahili güncelleme mekanizmasını kullanan kullanıcılar zararlı yazılımla enfekte olmuştu.
