9 апреля был взломан веб-сайт cpuid.com, с которого распространяются популярные утилиты CPU-Z, HWMonitor и PerfMonitor. В течение примерно 18 часов ссылки на загрузку этих утилит были подменены на вредоносные. Специалисты «Лаборатории Касперского» провели анализ данной кибератаки, в ходе которой на компьютеры жертв устанавливалось ПО для кражи персональных данных.

Модифицированные инсталляторы содержали оригинальный легитимный дистрибутив соответствующей утилиты и вредоносную библиотеку CRYPTBASE.DLL. Она отвечает за подключение к командному серверу и запуск следующей стадии атаки. Интересным моментом является тот факт, что организаторы атаки повторно использовали командный сервер, который ранее был замечен в совсем другой атаке: в марте он был задействован при распространении поддельной версии популярного FTP-клиента FileZilla.

На финальной стадии атаки загружается троянская программа STX RAT, также ранее замеченная в еще одной атаке. Более того, правила YARA для детектирования предыдущей версии зловреда работают и для атаки на CPU-Z, что также указывает на повторное использование вредоносного ПО без изменений. Специалисты «Лаборатории Касперского», таким образом, квалифицируют атаку как низкокачественную, что, скорее всего, помогло обнаружить взлом сайта в достаточно короткие сроки. Использование известного вредоносного ПО без модификаций упростило детектирование угрозы защитными решениями. Тем не менее организациям рекомендуется проверить собственную инфраструктуру на следы этой атаки, используя соответствующие индикаторы компрометации.

Что еще произошло

Компания Anthropic на прошлой неделе сообщила о партнерстве с рядом крупных компаний, таких как NVIDIA и Amazon, с целью использования новой и пока не выпущенной ИИ-модели Claude Mythos для поиска уязвимостей. Интерес представляет техническая публикация с оценкой возможностей этой модели. В статье говорится о значительном улучшении способностей Mythos не только в поиске уязвимостей, но и в демонстрации возможности их эксплуатации. Предыдущие модели, такие как Claude Opus 4.6, даже если и могли обнаруживать ошибки в коде, испытывали сложности именно с демонстрацией рабочего эксплойта. При работе с кодом браузера Mozilla Firefox модель Claude Mythos смогла эксплуатировать обнаруженные уязвимости в 72% случаев. ИИ-модель Anthropic также смогла найти уязвимость в Unix-дистрибутиве OpenBSD (эта ошибка оставалась незамеченной 27 лет), ошибку в коде библиотеки FFmpeg, а также баг в виртуальной машине, имя которой для безопасности пока даже не стали упоминать. По мнению Anthropic, в ближайшем будущем разработчикам программного обеспечения придется нелегко — из-за значительно возросшего количества автоматически обнаруживаемых уязвимостей, которые придется закрывать.

Эксперты «Лаборатории Касперского» проанализировали троян ClipBanker, атакующий в том числе тех, кто ищет легитимное ПО Proxifier. Зараженная версия этой программы распространялась через GitHub и занималась кражей криптовалюты путем подмены адресов криптокошельков в буфере обмена.

В версии браузера Google Chrome 146 для Windows усилена защита от кражи сессионных cookie. Технология Device Bound Session Credentials привязывает файлы cookie к конкретному устройству, делая невозможным их использование в другой системе.

Исследователи сообщают об атаках на пользователей Adobe Reader с использованием уязвимости нулевого дня. По информации экспертов, обнаруживших атаку, проблема в Adobe Reader эксплуатируется с декабря прошлого года и по-прежнему не закрыта.

Исследователь, не договорившийся с Microsoft, в начале апреля выложил в открытый доступ эксплойт к пока не пропатченной уязвимости в Windows. Атака, получившая название BlueHammer, позволяет получить максимальные привилегии в системе.