CPU-Z i HWMonitor zainfekowane. Atak typu watering hole podmienił instalatory na malware

Popularne narzędzia zostały wykorzystane jako wektor ataku. Jeśli pobierałeś je 9-10 kwietnia, warto to sprawdzić.

9 kwietnia 2026 r. strona cpuid.com, hostująca instalatory narzędzi takich jak CPU-Z, HWMonitor i PerfMonitor, zostały przejęte. W efekcie legalne linki do pobrania zostały podmienione na złośliwe źródła, które serwowały trojanizowane wersje oprogramowania.

Okno ataku było stosunkowo krótkie – od ok. 15:00 UTC (9.04) do 10:00 UTC (10.04) – ale wystarczające, by infekować użytkowników pobierających software w tym czasie.

Jak wyglądał atak

Atakujący przygotowali zmodyfikowane instalatory popularnych narzędzi:

  • CPU-Z 2.19
  • HWMonitor Pro 1.57
  • HWMonitor 1.63
  • PerfMonitor 2.04

Złośliwe paczki zawierały legalny, podpisany plik wykonywalny oraz złośliwą bibliotekę DLL (CRYPTBASE.dll). To klasyczny przykład DLL sideloadingu – aplikacja ładuje podstawioną bibliotekę, uruchamiając malware bez wzbudzania podejrzeń.

Co robił malware

Podstawiona DLL:

  • przeprowadzała testy wykrywające sandbox
  • nawiązywała komunikację z serwerem C2
  • uruchamiała kolejne etapy infekcji

Ciekawy detal: konfiguracja C2 została skopiowana z wcześniejszej kampanii (fake FileZilla). W kodzie znaleziono m.in.:

"referrer": "cpz"

co jasno wskazuje na powiązanie z CPU-Z.

Dalszy łańcuch prowadził do wdrożenia STX RAT – znanego już narzędzia z poprzednich analiz. To istotne, bo oznacza reuse infrastruktury i payloadu, co znacząco ułatwia detekcję.

Skala i ofiary

Zidentyfikowano ponad 150 ofiar, głównie osoby prywatne, ale także organizacje z sektorów takich jak handel detaliczny, produkcja, doradztwo, telekomunikacja czy rolnictwo. Najwięcej infekcji odnotowano w Brazylii, Rosji i Chinach.

Co poszło nie tak (dla atakujących)

Ten incydent to dobry przykład, że nawet skuteczna kompromitacja strony nie gwarantuje sukcesu operacyjnego. Największe błędy atakujących stanowiły ponowne wykorzystanie tego samego RAT-a (STX RAT), infrastruktury C oraz brak prób obejścia istniejących reguł detekcji (YARA)

W efekcie atak został wykryty bardzo szybko, mimo że sam wektor (watering hole + supply chain) jest z natury bardzo groźny.

Rekomendacje

Jeśli w tym czasie pobierano narzędzia z cpuid.com, sprawdź logi DNS pod kątem podejrzanych domen oraz przeanalizuj system pod kątem nietypowych DLL (szczególnie CRYPTBASE.dll), podejrzanych archiwów i instalatorów.

Źródło:
Kaspersky Secure List

Tagi

Popularne

Palo Alto Networks ofiarą łańcuchowego ataku na Salesforce
Chaos w Waszyngtonie blokuje wymianę informacji o cyberatakatach
Witamy na Sentry News
Cloudflare blokuje rekordowy atak DDoS – 11,5 Tbps