Хакеры взломали CPUID и подменили ссылки на загрузку CPU-Z и HWMonitor
NewsMakerВместо привычных CPU-Z и HWMonitor пользователи получали пакеты с вредоносной DLL и удалённым доступом.
Обычная загрузка CPU-Z или HWMonitor внезапно превратилась в раздачу трояна. Исследователи Cyderes , Breakglass и Kaspersky сообщили , что злоумышленники подменили официальные ссылки на сайте CPUID и отправляли посетителей за зараженными архивами и установщиками. По данным Kaspersky, подмена шла примерно с 15:00 UTC 9 апреля до 10:00 UTC 10 апреля и затронула CPU-Z 2.19, HWMonitor 1.63, HWMonitor Pro 1.57 и PerfMonitor 2.04. Breakglass при этом рассматривает более широкий коридор активности, с 3 по 10 апреля.
Схема атаки выглядела особенно неприятно из-за маскировки под легитимные загрузки. Внутри вредоносных пакетов лежал подписанный исполняемый файл нужной утилиты и подложенная библиотека CRYPTBASE.dll. После запуска Windows подхватывала библиотеку, а дальше начиналась многоступенчатая цепочка загрузки, которая работала в памяти и в финале разворачивала STX RAT, троян удаленного доступа с функциями кражи данных. Cyderes отдельно пишет, что в случае HWMonitor уязвимой оказалась 64-битная сборка.
История выглядит особенно тревожно из-за аудитории CPUID. CPU-Z и HWMonitor давно стали стандартными утилитами для диагностики железа у администраторов, инженеров, сборщиков ПК и энтузиастов. Для атакующих такой набор жертв особенно ценен, потому что на рабочих станциях и служебных ноутбуках часто хранятся учетные данные, сессионные cookie, ключи, доступ к VPN и другим внутренним сервисам. Kaspersky уже насчитала более 150 пострадавших, в основном частных пользователей, но среди жертв оказались и организации из розницы, производства, консалтинга, телеком-сектора и аграрной отрасли.
Еще неприятнее связь с предыдущими атаками. Breakglass и Kaspersky пришли к выводу, что злоумышленники повторно использовали инфраструктуру и элементы цепочки заражения из мартовской кампании с поддельным FileZilla. В отчетах фигурируют тот же подход с подменой DLL, те же адреса управления и домен welcome.supp0v3[.]com, а Breakglass вдобавок связывает активность группы с образцами, которые тянутся как минимум с июля 2025 года. Иначе говоря, речь идет не о случайной выходке, а о продолжающейся операции с уже обкатанным набором инструментов.
Хорошая новость только одна. По состоянию на 10 апреля загрузки на cpuid.com уже были очищены. Плохая новость гораздо серьезнее: атака показала, насколько опасной стала даже привычная загрузка «железной» утилиты с официального сайта. Когда под удар попадает канал обновления и дистрибуции, пользователь видит знакомое имя программы, а получает готовую точку входа для шпионажа и кражи доступа.
Обычная загрузка CPU-Z или HWMonitor внезапно превратилась в раздачу трояна. Исследователи Cyderes , Breakglass и Kaspersky сообщили , что злоумышленники подменили официальные ссылки на сайте CPUID и отправляли посетителей за зараженными архивами и установщиками. По данным Kaspersky, подмена шла примерно с 15:00 UTC 9 апреля до 10:00 UTC 10 апреля и затронула CPU-Z 2.19, HWMonitor 1.63, HWMonitor Pro 1.57 и PerfMonitor 2.04. Breakglass при этом рассматривает более широкий коридор активности, с 3 по 10 апреля.
Схема атаки выглядела особенно неприятно из-за маскировки под легитимные загрузки. Внутри вредоносных пакетов лежал подписанный исполняемый файл нужной утилиты и подложенная библиотека CRYPTBASE.dll. После запуска Windows подхватывала библиотеку, а дальше начиналась многоступенчатая цепочка загрузки, которая работала в памяти и в финале разворачивала STX RAT, троян удаленного доступа с функциями кражи данных. Cyderes отдельно пишет, что в случае HWMonitor уязвимой оказалась 64-битная сборка.
История выглядит особенно тревожно из-за аудитории CPUID. CPU-Z и HWMonitor давно стали стандартными утилитами для диагностики железа у администраторов, инженеров, сборщиков ПК и энтузиастов. Для атакующих такой набор жертв особенно ценен, потому что на рабочих станциях и служебных ноутбуках часто хранятся учетные данные, сессионные cookie, ключи, доступ к VPN и другим внутренним сервисам. Kaspersky уже насчитала более 150 пострадавших, в основном частных пользователей, но среди жертв оказались и организации из розницы, производства, консалтинга, телеком-сектора и аграрной отрасли.
Еще неприятнее связь с предыдущими атаками. Breakglass и Kaspersky пришли к выводу, что злоумышленники повторно использовали инфраструктуру и элементы цепочки заражения из мартовской кампании с поддельным FileZilla. В отчетах фигурируют тот же подход с подменой DLL, те же адреса управления и домен welcome.supp0v3[.]com, а Breakglass вдобавок связывает активность группы с образцами, которые тянутся как минимум с июля 2025 года. Иначе говоря, речь идет не о случайной выходке, а о продолжающейся операции с уже обкатанным набором инструментов.
Хорошая новость только одна. По состоянию на 10 апреля загрузки на cpuid.com уже были очищены. Плохая новость гораздо серьезнее: атака показала, насколько опасной стала даже привычная загрузка «железной» утилиты с официального сайта. Когда под удар попадает канал обновления и дистрибуции, пользователь видит знакомое имя программы, а получает готовую точку входа для шпионажа и кражи доступа.