先週、有名なハードウェア開発者の CPUID Web サイトがハッカーによって攻撃されました。ハッカーは、CPU-Z や HWMonitor などの複数のハードウェア監視ソフトウェアのダウンロード リンクを置き換えました。ユーザーがハッカーによって投下された悪意のあるバージョンを実行すると、リモート アクセス トロイの木馬に感染します。正直に言うと、CPU-Z などのソフトウェアは非常によく知られていますが、CPUID チームは大企業ではないため、詳細なセキュリティ調査を行う能力がありません。したがって、詳細は依然としてカスペルスキーなどの他のセキュリティ会社が発行するレポートに依存しています。
かなりの数の感染ユーザーがいるはずです。
CPU-Z や HWMonitor などのハードウェア検出または監視ソフトウェアは、通常、プロのユーザーによって使用されます。このようなソフトウェアを積極的にインストールするユーザーの数はそれほど多くないはずですが、それでもカスペルスキーは少なくとも 150 件の攻撃を検出しました。
現在の世界中のセキュリティ ソフトウェア カスペルスキー シリーズの使用率を考慮すると、実際の感染ユーザー数は数万人に達すると保守的に推測され、感染事件のほとんどはブラジル、ロシア、中国で発生しています。
攻撃は、2026 年 4 月 9 日の 15:00 UTC から 4 月 10 日の 10:00 UTC まで発生しました (国内時間: 2026 年 4 月 9 日 23:00 から 2026 年 4 月 10 日 18:00 まで、合計 19 時間。CPUID によって以前に見積もられた 6 時間ではありません。)。
上記期間中に CPUID Web サイトから CPU-Z などのソフトウェアをダウンロードした場合は、直ちにデータをバックアップし、システムを再インストールすることをお勧めします。さまざまなキーをすべてローテーションし、Kaspersky などのソフトウェアを使用してバックアップ ファイルのフル スキャンを実行することをお勧めします。
ハッカーが怠惰であれば、感染数は減少します。
この攻撃の追跡可能性は非常に単純であることは注目に値します。ハッカーは以前に FileZilla の悪意のあるバージョンをリリースしたドメイン名を再利用したため、STX RAT に関連するハッカー グループに帰属することが簡単です。
STX RAT は、HVNC (Advanced Virtual Network Control) と強力な情報窃取機能を備えたリモート アクセス トロイの木馬です。リモート制御、後続のペイロード実行、メモリ内での EXE/DLL/PowerShell/シェルコードの実行などのエクスプロイト後の操作などの機能を備えています。リバース プロキシを確立し、デスクトップ操作を実行することもできます。
問題は、ハッカーが怠惰で新しいドメイン名を登録しなかったことです。 FileZilla ポイズニング事件 (ソフトウェア自体はハッキングされませんでしたが、ハッカーがインターネット経由でポイズニングされたバージョンを公開した) では、関連する C2 ドメイン名がセキュリティ会社によって記録されています。
したがって、カスペルスキーなどのセキュリティ ソフトウェアは、悪意のあるドメイン名を直接特定し、傍受することができます。理論的には、Kaspersky などのウイルス対策ソフトウェアをインストールしているユーザーは、悪意のあるバージョンがリリースされたときに阻止されるはずですが、セキュリティ ソフトウェアをインストールしていないユーザーは感染する可能性があります。
カスペルスキーは次のように述べています。「この攻撃の背後にいるハッカーの全体的なマルウェアの開発、展開、運用能力は非常に低かったため、早期段階で攻撃を検出してブロックすることができました。」
もっと詳しく知る:
https://securelist.com/tr/cpu-z/119365/