Los atacantes obtuvieron acceso no autorizado a una API asociada con el proyecto **CPUID**, lo que llevó a la distribución de malware a través de enlaces de descarga manipulados en el sitio web oficial. El software afectado incluye las herramientas ampliamente utilizadas **CPU-Z** y **HWMonitor**, en las que confían millones de usuarios para el monitoreo de hardware y el análisis de especificaciones del sistema. ### Descargas Troyanizadas Informes surgieron en Reddit sobre el portal de descargas oficial redirigiendo a los usuarios a un servicio de almacenamiento **Cloudflare** R2, sirviendo una versión troyanizada de **HWiNFO**, una herramienta de diagnóstico y monitoreo desarrollada por un proveedor diferente. El archivo malicioso, llamado `HWiNFO_Monitor_Setup`, exhibe un comportamiento sospechoso, incluido el lanzamiento de un instalador ruso envuelto en Inno Setup. Esto se desvía del proceso de instalación típico y genera importantes señales de alerta. Los usuarios notaron que descargar el archivo genuino `hwmonitor_1.63.exe` directamente desde su URL seguía siendo posible, lo que sugiere que los binarios originales no fueron comprometidos directamente. Sin embargo, los enlaces de distribución fueron claramente envenenados para servir el payload malicioso. ### Cargador Avanzado Investigadores de seguridad en Igor’s Labs y @vxunderground confirmaron la cadena de descarga externalizada, destacando la participación de un cargador sofisticado que emplea técnicas, tácticas y procedimientos (TTPs) conocidos. >“Al empezar a examinar esto, descubrí que no se trata de malware típico y común”, >“Este malware está profundamente troyanizado, se distribuye desde un dominio comprometido (cpuid-dot-com), realiza enmascaramiento de archivos, es multi-etapa, opera (casi) enteramente en memoria y utiliza algunos métodos interesantes para evadir EDRs y/o AVs, como el proxy de la funcionalidad de NTDLL desde un assembly .NET.” ### Dirigido a Utilidades Ampliamente Usadas Se sospecha que el mismo grupo de amenazas atacó a usuarios de la solución FTP **FileZilla** el mes pasado, lo que indica un patrón de dirigirse a utilidades ampliamente adoptadas para maximizar el impacto. El archivo ZIP malicioso ha sido marcado por múltiples motores antivirus en **VirusTotal**, y algunos lo identifican como Tedy Trojan o Artemis Trojan. Algunos investigadores evalúan la variante falsa de **HWiNFO** como un infostealer. ### Respuesta de CPUID **CPUID** emitió un comunicado reconociendo la brecha: >"Las investigaciones aún están en curso, pero parece que una característica secundaria (básicamente una API lateral) fue comprometida durante aproximadamente seis horas entre el 9 y el 10 de abril, lo que provocó que el sitio web principal mostrara enlaces maliciosos de forma aleatoria (nuestros archivos originales firmados no fueron comprometidos). La brecha fue encontrada y desde entonces ha sido corregida." - **CPUID** **CPUID** también señaló que el incidente ocurrió mientras el desarrollador principal estaba de vacaciones. Actualmente, **CPUID** afirma haber resuelto el problema y ahora está distribuyendo versiones limpias de **CPU-Z** y **HWMonitor**.