Powrót do strony głównej

Hakowanie CPUID: trojan w CPU-Z i HWMonitor

Strona CPUID uległa kompromitacji: linki do CPU-Z i HWMonitor prowadziły do trojana STX RAT przez złośliwą DLL. Atak dotknął ponad 150 użytkowników, w tym biznes. Powiązana z poprzednimi kampaniami od lipca 2025 roku. Zalecenia dotyczące ochrony i sprawdzania systemów.

Trojan zamiast CPU-Z: jak zhakowano stronę CPUID
Advertisement 728x90

Kompromitacja strony CPUID: złośliwe wersje popularnych narzędzi do diagnostyki PC

Oficjalna strona producenta narzędzi diagnostycznych CPUID została zaatakowana, co doprowadziło do tego, że linki do pobrania CPU-Z i HWMonitor prowadziły do zainfekowanych plików. Spowodowało to rozprzestrzenienie trojana dostępu zdalnego wśród użytkowników, w tym specjalistów IT.

Mechanizm ataku i szczegóły techniczne

Przestępcy podmienili linki na oficjalnej stronie, przekierowując odwiedzających do archiwów z złośliwym oprogramowaniem. W zainfekowanych pakietach znajdował się legalny plik wykonywalny aplikacji oraz złośliwa biblioteka CRYPTBASE.dll. Po uruchomieniu system ładował tę bibliotekę, inicjując łańcuch zdarzeń kończący się instalacją trojana STX RAT. Trojan działa w pamięci, zapewniając zdalny kontrolę i kradzież danych.

Atak objął wersje CPU-Z 2.19, HWMonitor 1.63 i 1.57 Pro, PerfMonitor 2.04. Szczególnie podatna okazała się 64-bitowa wersja HWMonitor. Okres aktywności hackerów szacuje się od 3 do 10 kwietnia, z szczytem podmiany między 15:00 UTC 9 kwietnia a 10:00 UTC 10 kwietnia.

Google AdInline article slot

Cele i konsekwencje dla użytkowników

Narzędzia CPUID są szeroko stosowane do monitorowania sprzętu: od entuzjastów po administratorów korporacyjnych. Tacy użytkownicy często pracują z danymi poufnymi – kontami, kluczami dostępu i VPN. Trojan mógł zapewnić przechwycenie sesji, ciasteczek i haseł, otwierając drogę do wewnętrznych sieci firm.

Według ekspertów, poszkodowanych było ponad 150 osób, głównie osoby prywatne. Jednak wśród ofiar znalazły się organizacje z sektorów handlu detalicznego, produkcji, konsultingu, telekomunikacji i rolnictwa. To podkreśla ryzyko dla biznesu, gdzie narzędzia diagnostyczne są powszechne.

  • Kluczowe ryzyka dla ofiar:

- Zdalny dostęp do urządzenia.

Google AdInline article slot

- Kradzież danych logowania i tokenów sesyjnych.

- Dostęp do zasobów korporacyjnych przez VPN.

- Potencjalne rozprzestrzenianie w sieciach lokalnych.

Google AdInline article slot

Powiązanie z poprzednimi incydentami

Atak powtarza taktykę marcowej kampanii z fałszywym FileZilla: użycie zastąpienia DLL, podobnej infrastruktury i domeny zarządzania. Eksperci śledzą elementy łańcucha do lipca 2025 roku, wskazując na zorganizowaną grupę o dopracowanych metodach. Takie podejście minimalizuje wykrycie, maskując się pod oficjalne aktualizacje.

Kontekst i znaczenie dla branży

Kompromitacja kanałów dystrybucji oprogramowania to rosnące zagrożenie w cyberbezpieczeństwie. Powody sukcesu: zaufanie do marek i słaba kontrola integralności pobierań. Konsekwencje obejmują konieczność sprawdzania sum kontrolnych plików i przejście na podpisane aktualizacje. Dla branży jest to sygnał do wzmocnienia weryfikacji dostawców narzędzi.

Ogólny kontekst: podobne ataki na łańcuch dostaw zwiększyły się o 30% w ciągu roku, według raportów branżowych. Użytkownikom zaleca się skanowanie systemów i aktualizację oprogramowania antywirusowego.

Co jest ważne

  • Hakerzy podmienili linki na cpuid.com, rozpowszechniając trojana STX RAT poprzez DLL.
  • Poszkodowane wersje CPU-Z 2.19, HWMonitor 1.63/Pro 1.57; ponad 150 ofiar.
  • Powiązanie z atakami od lipca 2025 roku, w tym marcowym FileZilla.
  • Strona oczyszczona do 10 kwietnia, ale ryzyko dla użytkowników korporacyjnych pozostaje.
  • Rekomendacja: sprawdzaj sumy kontrolne i używaj sandboxa do testów.

— Editorial Team

Advertisement 728x90

Czytaj dalej