La semaine dernière, le célèbre site Web CPUID du développeur de matériel informatique a été attaqué par des pirates informatiques. Les pirates ont remplacé les liens de téléchargement de plusieurs logiciels de surveillance du matériel tels que CPU-Z et HWMonitor. Lorsque les utilisateurs exécutent les versions malveillantes abandonnées par les pirates, ils seront infectés par des chevaux de Troie d’accès à distance. Pour être honnête, bien que des logiciels tels que CPU-Z soient très connus, l'équipe CPUID n'est pas une grande entreprise et n'a donc pas la capacité de mener des enquêtes de sécurité détaillées. Par conséquent, les détails dépendent toujours des rapports publiés par d’autres sociétés de sécurité, telles que Kaspersky.
Il devrait y avoir un certain nombre d'utilisateurs infectés :
Les logiciels de détection ou de surveillance du matériel tels que CPU-Z et HWMonitor sont généralement utilisés par les utilisateurs professionnels. Le nombre d’utilisateurs qui installent activement de tels logiciels ne devrait pas être très important, mais Kaspersky a néanmoins détecté au moins 150 attaques.
Compte tenu du taux d’utilisation actuel des logiciels de sécurité Kaspersky dans le monde, nous estimons prudemment que le nombre réel d’utilisateurs infectés devrait être de plusieurs dizaines de milliers, la plupart des incidents d’infection se produisant au Brésil, en Russie et en Chine.
L'attaque s'est produite de 15h00 UTC le 9 avril 2026 à 10h00 UTC le 10 avril (Heure nationale : de 23h00 le 9 avril 2026 à 18h00 le 10 avril 2026, soit un total de 19 heures, et non les 6 heures précédemment estimées par CPUID).
Si vous avez téléchargé un logiciel tel que CPU-Z via le site Web CPUID pendant la période ci-dessus, il est recommandé de sauvegarder immédiatement les données et de réinstaller le système. Il est préférable de faire pivoter toutes les différentes clés et d'effectuer une analyse complète des fichiers de sauvegarde à l'aide d'un logiciel tel que Kaspersky.
La paresse des pirates informatiques entraîne une diminution du nombre d’infections :
Il convient de noter que la traçabilité de cette attaque est très simple, car le pirate a réutilisé le nom de domaine qui avait précédemment publié une version malveillante de FileZilla, il est donc facile de l'attribuer au groupe de hackers lié à STX RAT.
STX RAT est un cheval de Troie d'accès à distance doté de HVNC (Advanced Virtual Network Control) et de puissantes fonctions de vol d'informations. Il a des fonctions telles que le contrôle à distance, l'exécution ultérieure de la charge utile et les opérations post-exploitation, telles que l'exécution d'EXE/DLL/PowerShell/shellcode en mémoire. Il peut également établir un proxy inverse et effectuer une interaction avec le bureau.
Le problème est que les pirates ont été paresseux et n’ont pas enregistré de nouveau nom de domaine. Lors de l'incident d'empoisonnement de FileZilla (le logiciel lui-même n'a pas été piraté, mais les pirates ont publié la version empoisonnée via Internet), le nom de domaine C2 correspondant a été enregistré par la société de sécurité.
Ainsi, les logiciels de sécurité tels que Kaspersky peuvent identifier directement les noms de domaine malveillants et les intercepter. En théorie, les utilisateurs qui installent un logiciel antivirus tel que Kaspersky devraient être interceptés lorsque la version malveillante est publiée, tandis que les utilisateurs qui n'installent pas de logiciel de sécurité peuvent être infectés.
Kaspersky a déclaré : Les capacités globales de développement, de déploiement et d'exploitation de logiciels malveillants des pirates à l'origine de cette attaque étaient assez faibles, ce qui nous a permis de détecter et de bloquer l'attaque à un stade précoce.
apprendre encore plus:
https://securelist.com/tr/cpu-z/119365/