CPU情報表示ツール「CPU-Z」とハードウェア監視ツール「HWMonitor」の公式ダウンロードページが侵害され、マルウェアを含む不正なインストーラーが配布されていたことが明らかになりました。
CPU-ZとHWMonitorの公式ページからマルウェアが配布
CPU-ZとHWMonitorはいずれもCPUID社が開発する定番のPC向けユーティリティで、自作PCユーザーを中心に広く利用されています。しかし、公式サイトのダウンロードリンクが不正なファイルに置き換えられていたことがRedditへの投稿をきっかけに発覚しました。
正規とは異なるファイル名でトロイの木馬を配布
報告によると、HWMonitorを更新しようとした際にダウンロードされたファイル名が「HWiNFO_Monitor_Setup.exe」と本来とは異なっていたほか、Windows Defenderがウイルスとして検出。実行するとロシア語のプログラムがインストールされようとしたとのことです。セキュリティ研究グループのvx-undergroundは、誤検知ではなく侵害されたドメインパスを通じて配布された多段階型のトロイの木馬であることを確認しています。なお、このマルウェアはブラウザーに保存されているパスワードを盗む機能を持っているとされています。
侵害は約6時間。本体バイナリの改ざんはなし
CPUID社の開発者であるSamuel Demeulemeester氏は調査中であるとした上で、CPU-ZやHWMonitor本体のバイナリは改ざんされておらず、Webサイトに接続する二次的な機能やAPIが約6時間にわたって侵害されていたとの見解を示しています。そのため、現時点では両ツールのダウンロードは控え、すでにインストール済みの場合もソフト経由のアップデートは行わないよう呼びかけられています。
侵害期間は比較的短かったものの、この間にダウンロードした可能性がある場合はウイルス対策ソフトなどでファイルをスキャンし、不審なファイルが残っていないか確認する必要があります。また、ブラウザーに保存していたサービスのパスワードを変更するなどの対策も求められます。
なお、同種のツールとしてはHWiNFOが代替として利用可能ですが、今回の不正ファイルがHWiNFOを偽装した名称であったことから、しばらくはこのようなツールをインストールする際にファイル名やインストーラーの言語に不審な点がないか注意を払った方がよいでしょう。
コメント