知名硬件開發商 CPUID 網站上週遭受黑客攻擊,黑客替換了 CPU-Z 和 HWMonitor 等多款硬件監控軟件的下載連結。當用戶運行黑客投放的惡意版本時,就會感染遠程訪問木馬。平心而論,CPU-Z 等軟件頗具知名度,但 CPUID 團隊並非大公司,因此缺乏能力進行詳細安全調查,具體情況仍需等待其他安全公司如卡巴斯基發佈報告。
感染用戶數量及攻擊細節
受感染用戶應不在少數:CPU-Z 和 HWMonitor 這類硬件檢測或監控軟件的用戶群體通常為專業人士,主動安裝此類軟件的用戶數量並非極多,但卡巴斯基至少偵測到 150 次攻擊。考慮到卡巴斯基系列安全軟件目前在全球的使用率,我們保守估計受感染用戶應有數萬名,大部分感染事件發生在美國西部、俄羅斯和中國。 此次攻擊發生於 2026 年 4 月 9 日 15:00 UTC 至 4 月 10 日 10:00 UTC(中國時區:2026 年 4 月 9 日 23:00 至 4 月 10 日 18:00)
,持續約 19 小時,並非 CPUID 先前預估的 6 小時。若用戶在上述時段透過 CPUID 網站下載過 CPU-Z 等軟件,建議立即備份數據重置系統,最好將各類密碼全部更換,並使用卡巴斯基等軟件對備份文件執行全盤掃描。 黑客竊取流量下降值得注意:這次攻擊手法並不複雜,黑客重用了先前投放 FileZilla 惡意版本的域名,因此很容易將其歸諸 STX RAT 相關的黑客團體。
STX RAT 是一款配備 HVNC(高級虛擬網絡控制)和強大信息竊取功能的遠程訪問木馬,還配備遠程控制、後門有效載荷執行和後滲透操作等功能,例如在系統中執行 EXE/DLL/PowerShell/shellcode 等,還能建立反向代理並進行桌面交互等。問題在於黑客偷懶未註冊新域名,在 FileZilla 投毒事件中(該軟件本身未被黑,僅黑客透過互聯網投放帶毒版本)相關 C2 域名已被安全公司記錄。
因此諸如卡巴斯基等安全軟件能直接識別惡意域名並進行攔截,理論上安裝卡巴斯基等防毒軟件的用戶應在惡意版本時就被攔截,而未安裝安全軟件的用戶才會中招。卡巴斯基表示:此次攻擊背後黑客的整體惡意軟件開發、部署和運維能力相當低下,這讓我們能在攻擊初期就偵測並進行攔截。了解更多:https://securelist.com/tr/cpu-z/119365/
