MalwareHackerangriffeSchwachstellen

Beliebte Hardware-Tools gehackt: STX-RAT verbreitet sich über CPU-Z und HWMonitor

Beliebte Hardware-Tools gehackt: STX-RAT verbreitet sich über CPU-Z und HWMonitor
Zusammenfassung

Beliebte Hardware-Monitoring-Tools wie CPU-Z und HWMonitor sind zum Ziel einer Cyberattacke geworden. Unbekannte Angreifer gelang es am 9. April 2025, die Website des Softwareherstellers CPUID zu kompromittieren und innerhalb von knapp 24 Stunden manipulierte Installer dieser Programme zum Download anzubieten. Die betroffenen Dateien enthielten neben den legitimen, signierten Programmen eine bösartige DLL-Datei, die das STX-Modul laden sollte – ein Remote-Access-Trojaner mit umfassenden Fähigkeiten zur Fernsteuerung und Datendiebstahl. Nach Angaben von Kaspersky wurden über 150 Nutzer infiziert, darunter Privatpersonen sowie Unternehmen aus Einzelhandel, Fertigung und Telekommunikation, vorwiegend in Brasilien, Russland und China. Für deutsche Nutzer und Organisationen besteht ein reales Risiko, insofern sie in diesem Zeitraum CPU-Z oder HWMonitor heruntergeladen haben. Die Angreifer nutzten eine DLL-Sideloading-Technik und integrierten Anti-Analyse-Funktionen, wodurch das Schadprogramm professionell aufgebaut wirkt. Der Vorfall verdeutlicht, wie selbst vertrauenswürdige Software-Download-Plattformen kompromittiert werden können – ein besonders gefährliches Angriffsszenario, das deutsche Unternehmen und private Nutzer zu erhöhter Vorsicht beim Softwaredownload mahnen sollte.

Der Angriff ereignete sich zwischen dem 9. April, 15:00 Uhr UTC, und dem 10. April, 10:00 Uhr UTC. Während dieser knapp 24-stündigen Zeitspanne wurden die Download-URLs für CPU-Z und HWMonitor auf der CPUID-Website durch Links zu bösartigen Seiten ersetzt. CPUID bestätigte den Sicherheitsvorfall und erklärte, dass eine “sekundäre Funktion”, im Grunde ein Neben-API, kompromittiert worden war. Dies führte dazu, dass die Hauptwebsite zufällig auf malware-haltige Links verwies.

Die Trojaner-Software wurde sowohl als ZIP-Archive als auch als eigenständige Installer verbreitet. Nach Angaben von Kaspersky enthielten diese manipulierten Dateien jeweils eine legitime, digital signierte Anwendung sowie eine bösartige DLL namens “CRYPTBASE.dll”. Die Angreifer nutzen dabei die DLL-Seitenladejtechnik aus, eine etablierte Exploitationsmethode, bei der ein legitimer Prozess eine manipulierte Bibliothek lädt.

Die schädliche DLL kontaktiert einen externen Server und führt zusätzliche Schadprogramme aus. Zuvor führt sie allerdings Überprüfungen durch, um Sicherheitsanalysen in Sandboxen zu umgehen. Das eigentliche Ziel des Angriffs ist die Bereitstellung von STX RAT, einem Remote-Access-Trojaner mit HVNC-Funktionalität und erweiterten Informationsbeschaffungsfähigkeiten.

STX RAT bietet laut eSentire-Analysen ein breites Spektrum an Befehlen für Fernsteuerung, zusätzliche Payload-Ausführung und Post-Exploitation-Aktivitäten – darunter die speicherinterne Ausführung von EXE-, DLL-, PowerShell-Dateien und Shellcode, Reverse-Proxy- und Tunneling-Funktionen sowie Desktopinteraktion.

Besonders auffällig: Die Kommando- und Kontrollserver (C2) sowie die Verbindungskonfiguration wurden aus einer früheren Kampagne wiederverwendet. Diese hatte manipulierte FileZilla-Installer auf gefälschten Webseiten zum Verbreiten desselben RAT-Trojaners genutzt. Das Sicherheitsunternehmen Malwarebytes dokumentierte diese Aktivität bereits im März.

“Der größte Fehler der Angreifer war die Wiederverwendung derselben Infektionskette und identischer Domain-Namen für C2-Kommunikation”, erklärte Kaspersky. Die operative Sicherheit und Malware-Entwicklungsfähigkeiten des Akteurs fallen demzufolge eher gering aus – was paradoxerweise die schnelle Erkennung des Angriffs ermöglichte. Sicherheitsexperten raten Nutzern dringend, ihre CPU-Z- und HWMonitor-Installationen zu überprüfen und die Software von der offiziellen CPUID-Website neu herunterzuladen.

Ähnliche Artikel