CPUID: Saldırganlar web sitesi aracılığıyla kötü amaçlı yazılım yükleyicileri dağıttı

kapanış bildirimi

Bu makale İngilizce olarak da mevcuttur. Teknik yardımla tercüme edildi ve yayınlanmadan önce editoryal olarak gözden geçirildi.

Geçen hafta Perşembe veya Cuma günü, yani 9 veya 10 Nisan 2026'da CPU-Z veya HWMonitor gibi CPUID web sitesinden sistem analiz araçlarını indiren herkes, bilgisayarlarını kötü amaçlı yazılımlara karşı kontrol etmelidir. Bugünlerde birkaç saat boyunca web sitesi normal kurulum paketleri yerine rastgele kötü amaçlı yazılımlara bağlantılar yayınladı.

Duyurudan sonra devamını okuyun

Kapsamlı bir kötü amaçlı yazılım analiziyle ilgili tam olay, BT araştırmacısı tarafından GitHub'da tanıtıcı düşmanı olan bir belgede açıklanmaktadır. Saldırganlar böylece API'deki bir güvenlik açığı aracılığıyla CPUID web sitesini tehlikeye atmayı başardılar. Web sitesi daha sonra rastgele kötü amaçlı bağlantılar görüntüledi. Ancak orijinal imzalı dosyalar değiştirilmedi.

Analiz, kötü amaçlı yazılım paketlerinin “cpu-z_2.19-en.zip” gibi güvenilir dosya adlarına sahip olduğunu ve kötü amaçlı CRYPTBASE.dll dosyasıyla birlikte meşru CPU-Z dosyalarını içerdiğini açıklıyor. Bu, bu dosyayı önce geçerli dizinde ve daha sonra sistem dizinlerinde arayan standart Windows arama sırasını kötüye kullanır. Bu, kötü amaçlı kodun “DLL yan yükleme” güvenlik açığı olarak adlandırılan güvenlik açığı aracılığıyla yürütülmesine olanak tanır. Yürütmenin ardından çok aşamalı bir enfeksiyon zinciri takip eder. Kaspersky tarafından “Backdoor.Win64.Alien” olarak tanınan bir arka kapı, sisteme kalıcı olarak sabitlenmiştir. Analiz, başarılı saldırılara ilişkin çeşitli sinyaller sağlar (Uzlaşma Göstergeleri, IOC).

Vxunderground'ın Bluesky'deki analizine göre, saldırı Cuma günü Orta Avrupa Saati (19:00 EST) civarında 01:00 civarında fark edildi. HWMonitor paketi üzerinde değişiklik yapılmış bir sürüm olarak da indirilebiliyordu. Başka bir yorumda CPU-Z ve HWMonitor sorumlusu @d0cTB'nin bir beyanına atıfta bulunuluyor. Soruşturma hâlâ devam ediyor ancak sitedeki ikincil işlevlere yönelik bir API'nin yaklaşık altı saat önce ele geçirildiği anlaşılıyor. Bu, kötü amaçlı bağlantıların ana sayfada rastgele görünmesine neden oldu. Orijinal imzalı dosyalar tehlikeye atılmamıştır. İzinsiz giriş fark edildi ve ardından durduruldu.

Nemesis'in daha derin analizine göre bu, resmi CPUID indirme altyapısının kötü amaçlı dosyalar dağıttığı bir tedarik zinciri saldırısıydı. İndirme bağlantıları, standart CPUID altyapısına işaret etmek yerine Cloudflare C2 depolama alanına yönlendirildi. Saldırganlar, Rusça yükleyicileri içeren kendi Truva atı paketlerini dağıttılar; Orijinal imzalı yükleyicilere müdahale edilmemiştir. Dolayısıyla, üzerinde değişiklik yapılan paketlerin iki çeşidi vardı; biri InnoSetup yürütülebilir yükleyicileri ve ardından ek kötü amaçlı CRYPTBASE.dll dosyasıyla yeniden paketlenen .zip dosyaları. Analiz ayrıca Mart 2026'nın başlarında FileZilla'ya karşı aynı saldırganları hedef alan benzer bir kötü amaçlı yazılım kampanyasından da bahsediyor.

Söz konusu dönemde CPUID'den yazılım indiren herkes, bunun bilinen kötü amaçlı yazılım çeşitleri olup olmadığını kontrol etmelidir. VirusTotal tarayıcılarının artık buna büyük ölçüde yanıt vermesi gerekiyor.

Duyurudan sonra devamını okuyun

Tedarik zinciri saldırıları birçok şirketi etkiliyor. Yaklaşık iki hafta önce saldırganlar, LiteLLM'ye yapılan bir tedarik zinciri saldırısı yoluyla Cisco'nun dahili verilerine erişim sağladı. Kaynak kodu ve müşteri verilerinin çalındığı söyleniyor.


(Bilmiyorum)


Yayımlandı

kategorisi

yazarı:

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir