HWMonitor și CPU-Z, două aplicații populare de monitorizare hardware pentru Windows, au distribuit malware utilizatorilor care le-au descărcat sau actualizat prin intermediul site-ului oficial cpuid.com.
Ce s-a întâmplat concret cu HWMonitor și CPU-Z
Potrivit unui articol publicat de Cybernews, site-ul CPUID a fost compromis pentru câteva ore și unii dintre cei care au descărcat aplicațiile în intervalul respectiv au fost infectați cu malware. Din ce spune chiar CPUID, problema a ținut cam 6 ore, undeva între 9 și 10 aprilie 2026.
O componentă secundară a site-ului, un fel de API, a fost compromisă. Asta a dus la afișarea unor linkuri malițioase, chiar pe site-ul oficial. Practic, intrai pe pagina bună, dar uneori descărcai altceva decât ceea ce căutai. Mai mult, fișierele originale cu semnătura corectă nu au fost afectate. Deci nu vorbim de un troian injectat direct în aplicațiile oficiale, ci de o „redirecționare” către fișiere infectate.
Primii care au mirosit problema au fost utilizatorii, nu compania, așa cum se întâmplă de cele mai multe ori. Un utilizator de pe Reddit, citat de Cybernews, a spus că a primit un update la HWMonitor (1.63), a dat click, a ajuns pe site-ul oficial, a descărcat un fișier cu nume suspect și Windows Defender a reacționat imediat.
Când fișierul a fost verificat pe VirusTotal, a fost marcat ca troian de 32 de soluții de securitate. Între timp, mai mulți oameni din tech au confirmat problema, printre care și creatorul de conținut Chris Titus, care a rezumat pericolul așa: „Millions about to be PWNED!”, adică „milioane (de computere) sunt pe cale să fie compromise”.
Ce făcea malware-ul
Analiștii de la vx-underground au confirmat compromiterea și au analizat aplicațiile infectate. Malware-ul funcționează în mai multe etape, rulează aproape exclusiv în memorie, folosește PowerShell pentru a descărca fișiere suplimentare de pe serverele atacatorilor și lasă o adresă inclusă în cod prin care primește comenzi.
Pentru a trece neobservat, fișierul infectat a fost denumit CRYPTBASE.dll, ca o bibliotecă legitimă de Windows folosită chiar de HWMonitor. Scopul atacului a fost furtul de date din browsere.
Aceeași infrastructură a fost folosită anterior și într-o campanie care a atacat FileZilla, o soluție de FTP, la începutul lunii martie 2026, atac documentat de MalwareBytes. Concluzia analiștilor vx-underground, deloc lipsită de umor sună cam așa: „În ansamblu, îi dau acestui malware un B-. E destul de bun.”
Ce trebuie să faci dacă ai descărcat HWMonitor și CPU-Z în intervalul respectiv
La ora publicării acest articol, site-ul cpuid.com este funcțional și problema a fost remediată. Totuși, dacă ai descărcat sau actualizat HWMonitor și CPU-Z în intervalul 9-10 aprilie, experții în securitate recomandă să pornești de la premisa că sistemul a fost compromis. Asta înseamnă să-ți schimbi imediat parolele, în special pe cele stocate în browsere, să verifici dacă e vreo activitate pe conturile importante, să activezi autentificarea în doi pași acolo unde nu există deja și să cureți dispozitivul cu o soluție antivirus / anti-malware. Dacă folosești un crypto wallet, situația ar putea fi și mai urgentă.
Și pe viitor, verifică hash-ul fișierelor înainte să le rulezi, mai ales pentru programele care rulează cu privilegii „mari” și au acces la tot ce mișcă în sistem. Hash-ul e o amprentă unică a fișierului, iar dacă fișierul a fost modificat sau înlocuit cu unul malițios, amprenta nu mai corespunde cu cea publicată de producător.
