Angreifer verschafften sich unbefugten Zugriff auf eine API, die mit dem **CPUID**-Projekt verbunden ist, was zur Verbreitung von Malware über manipulierte Download-Links auf der offiziellen Website führte. Die betroffenen Programme umfassen die weit verbreiteten Tools **CPU-Z** und **HWMonitor**, auf die Millionen von Nutzern für Hardware-Überwachung und Systemanalyse angewiesen sind. ### Trojanisierte Downloads Berichte tauchten auf Reddit auf, wonach das offizielle Download-Portal Benutzer zu einem **Cloudflare** R2-Speicherdienst umleitete und eine trojanisierte Version von **HWiNFO**, einem Diagnose- und Überwachungstool eines anderen Anbieters, auslieferte. Die bösartige Datei mit dem Namen `HWiNFO_Monitor_Setup` zeigte verdächtiges Verhalten, darunter den Start eines russischen Installers, der in Inno Setup verpackt war. Dies weicht vom üblichen Installationsprozess ab und gibt erhebliche Warnsignale. Benutzer stellten fest, dass der direkte Download der echten `hwmonitor_1.63.exe` von seiner URL weiterhin möglich war, was darauf hindeutet, dass die ursprünglichen Binärdateien nicht direkt kompromittiert wurden. Die Distributionslinks waren jedoch eindeutig vergiftet, um die bösartige Payload auszuliefern. ### Fortgeschrittener Loader Sicherheitsforscher von Igor's Labs und @vxunderground bestätigten die externe Download-Kette und hoben die Beteiligung eines hochentwickelten Loaders hervor, der bekannte Taktiken, Techniken und Prozeduren (TTPs) einsetzte. > „Als ich anfing, das mit einem Stock zu untersuchen, entdeckte ich, dass dies keine typische Alltags-Malware ist.“ > „Diese Malware ist tief trojanisiert, wird von einer kompromittierten Domain (cpuid-dot-com) verteilt, führt Datei-Masquerading durch, ist mehrstufig, operiert (fast) ausschließlich im Speicher und verwendet einige interessante Methoden, um EDRs und/oder AVs zu umgehen, wie z. B. das Proxying von NTDLL-Funktionalität aus einer .NET-Assembly.“ ### Ziel: Weit verbreitete Dienstprogramme Es wird vermutet, dass dieselbe Bedrohungsgruppe im letzten Monat Benutzer der **FileZilla** FTP-Lösung ins Visier genommen hat, was auf ein Muster der gezielten Ansprache weit verbreiteter Dienstprogramme zur Maximierung der Auswirkungen hindeutet. Das bösartige ZIP-Archiv wurde von mehreren Antivirus-Engines auf **VirusTotal** markiert, wobei einige es als Tedy Trojan oder Artemis Trojan identifizierten. Einige Forscher bewerten die gefälschte **HWiNFO**-Variante als Infostealer. ### Reaktion von CPUID **CPUID** gab eine Erklärung ab, in der die Verletzung bestätigt wurde: > „Die Untersuchungen laufen noch, aber es scheint, dass eine sekundäre Funktion (im Grunde eine Neben-API) für etwa sechs Stunden zwischen dem 9. und 10. April kompromittiert wurde, was dazu führte, dass die Hauptwebsite zufällig bösartige Links anzeigte (unsere signierten Originaldateien waren nicht kompromittiert). Der Einbruch wurde entdeckt und inzwischen behoben.“ - **CPUID** **CPUID** stellte außerdem fest, dass der Vorfall stattfand, während der Hauptentwickler im Urlaub war. Derzeit behauptet **CPUID**, das Problem behoben zu haben und verteilt nun saubere Versionen von **CPU-Z** und **HWMonitor**.