S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Victime d’un hack, CPUID a distribué un malware au lieu de CPU-Z et HWMonitor

CPUID, l’éditeur des utilitaires CPU-Z et HWMonitor, a été victime d’un hack ayant permis à des malandrins de distribuer un cheval de Troie à la place de ces deux outils. Les liens de téléchargement officiels ont été modifiés pour pointer vers des fichiers malveillants. L’attaque a eu lieu entre les 9 et 10 avril. La situation est désormais sous contrôle.

Screenshot des utilitaires CPU-Z et HWMonitor

Ces deux logiciels comptent des millions d’utilisateurs. CPU-Z est un outil d’identification des composants d’un PC, HWMonitor surveille les capteurs (température, ventilos, etc.). Ceux qui ont eu le malheur de télécharger ces utilitaires durant l’attaque se sont retrouvés avec une variante malveillante de HWiNFO, un outil de diagnostic créé par un autre développeur.

Le logiciel piégé, baptisé « HWiNFO_Monitor_Setup », installe un malware d’origine russe depuis un nom de domaine compromis, détaille vx-underground. Il agit de manière progressive en plusieurs étapes pour ne pas éveiller les soupçons, exécute ses actions directement dans la mémoire vive en évitant d’écrire sur le disque du PC, et utilise des techniques d’évasion pour échapper aux antivirus et aux systèmes de détection. 

Le fichier compressé de l’application vérolée est tout de même identifié par une vingtaine d’antivirus, qui le classent comme un cheval de Troie ou un infostealer. Samuel Demeulemeester, alias Doc Teraboule, le développeur derrière CPU-Z et HWMonitor, a assuré que la faille avait été identifiée et corrigée. 

Si l’enquête est toujours en cours, il semble qu’une fonction secondaire (une API annexe) a été compromise « pendant environ six heures entre le 9 et le 10 avril ». Doc TB précise à Next que les liens vers le fichier vérolé sont restés en ligne sur le site de CPUID entre 2 h et 8 h (heure française). Seules les dernières versions de CPU-Z et HWMonitor proposées sous la forme d’un fichier compressé .ZIP ont été touchés, pas les .EXE. Il précise aussi que l’app malveillante n’étant pas signée, elle déclenchait donc Windows Defender immédiatement à l’extraction. De quoi limiter l’impact de l’infection.

Important aussi à avoir en tête : les fichiers hébergés sur le serveur de CPUID n’ont pas été compromis, uniquement les liens du site web. Les mises à jour automatiques des logiciels n’ont pas été touchées. Concernant l’attaque en elle-même, son envergure était a priori prévue pour être plus importante encore, puisque les pirates sont parvenus à compromettre les clés TLS privées en exploitant une faille Apache (les certificats compromis ont été révoqués).

Le développeur, toujours à pied d’œuvre, a pu réagir rapidement grâce aux experts en sécurité (et Reddit !) qui lui ont donné un coup de main.

Commentaires (6)

votre avatar
J'ai mis à jour l'actu avec quelques détails supplémentaires fournis par Samuel (merci à lui !).
votre avatar
'' Seules les dernières versions de CPU-Z et HWMonitor proposées sous la forme d’un fichier compressé .ZIP ont été touchés, par les .EXE.'' ont été touchés par leurs exécutables compressés ?

Édit : car j'ai du mal à comprendre la tournure exact de cette phrase ;)
Édit : la phrase de l'article a été corrigé, ''par'' et devenu '' pas ''. Et là, c'est plus compréhensible.

Par contre, ce sont bien les exécutables contenu dans le ZIP qui était vérolés si je comprends mieux :)
votre avatar
malandrins
votre avatar
Je trouve dommage d'utiliser le terme hack dans ce contexte manifeste de piratage.
À force d'utiliser les mauvais mots le sens en devient flou voire même changeant.
Quand un ayant droit parle de vol ou de piratage au lieu de contrefaçon, il a un objectif. Quand un fabricant parle de piratage pour une modification non autorisé au lieu de hack, ou bidouillage en bon français, il a un objectif.
votre avatar
Désolé pour Samuel, mais en lisant son nom, l’image de “Monsieur DeMesmaeker” s’est imposée :

https://external-content.duckduckgo.com/iu/?u=https%3A%2F%2Fi.pinimg.com%2Foriginals%2Fdd%2F96%2F2a%2Fdd962a87fe694604f4b488b1525ab70e.jpg&f=1&nofb=1&ipt=44a6449be2c728ee703aee76ed831f2b7207ac4f5388fa8c98a447619ed3be75

Pardon pour Lagaffe !!!
votre avatar
j'hésite toujours quand je ne trouve pas de somme de contrôle officielle à installer un logiciel même pour des machines qui ne sont pas à moi… Bon, je touche rarement à du windows et encore moins maintenant mais petit réflexe qui sauve encore une fois