Atacantes obtiveram acesso não autorizado a uma API associada ao projeto **CPUID**, levando à distribuição de malware através de links de download manipulados no site oficial. O software afetado inclui as ferramentas amplamente utilizadas **CPU-Z** e **HWMonitor**, nas quais milhões confiam para monitoramento de hardware e análise de especificações do sistema. ### Downloads Trojanizados Relatos surgiram no Reddit sobre o portal de download oficial redirecionando usuários para um serviço de armazenamento **Cloudflare** R2, servindo uma versão trojanizada do **HWiNFO**, uma ferramenta de diagnóstico e monitoramento desenvolvida por um fornecedor diferente. O arquivo malicioso, nomeado `HWiNFO_Monitor_Setup`, exibe comportamento suspeito, incluindo o lançamento de um instalador russo encapsulado no Inno Setup. Isso se desvia do processo de instalação típico e levanta sérias preocupações. Usuários observaram que o download do `hwmonitor_1.63.exe` genuíno diretamente de sua URL permaneceu possível, sugerindo que os binários originais não foram diretamente comprometidos. No entanto, os links de distribuição foram claramente envenenados para servir o payload malicioso. ### Loader Avançado Pesquisadores de segurança da Igor’s Labs e @vxunderground confirmaram a cadeia de download externalizada, destacando o envolvimento de um loader sofisticado empregando técnicas, táticas e procedimentos (TTPs) conhecidos. >“Ao começar a cutucar isso com um graveto, descobri que este não é um malware comum”, >“Este malware é profundamente trojanizado, distribui-se de um domínio comprometido (cpuid-dot-com), realiza mascaramento de arquivos, é multi-estágio, opera (quase) inteiramente em memória e usa alguns métodos interessantes para evadir EDRs e/ou AVs, como o proxy de funcionalidade NTDLL de um assembly .NET.” ### Visando Utilitários Amplamente Usados O mesmo grupo de ameaças é suspeito de ter visado usuários da solução FTP **FileZilla** no mês passado, indicando um padrão de ataque a utilitários amplamente adotados para maximizar o impacto. O arquivo ZIP malicioso foi sinalizado por múltiplos motores antivírus no **VirusTotal**, com alguns identificando-o como Tedy Trojan ou Artemis Trojan. Alguns pesquisadores avaliam a variante falsa do **HWiNFO** como um infostealer. ### Resposta da CPUID A **CPUID** emitiu um comunicado reconhecendo a violação: >"As investigações ainda estão em andamento, mas parece que um recurso secundário (basicamente uma API lateral) foi comprometido por aproximadamente seis horas entre 9 e 10 de abril, fazendo com que o site principal exibisse links maliciosos aleatoriamente (nossos arquivos originais assinados não foram comprometidos). A violação foi encontrada e desde então foi corrigida." - **CPUID** A **CPUID** também observou que o incidente ocorreu enquanto o desenvolvedor principal estava de férias. Atualmente, a **CPUID** afirma ter resolvido o problema e está distribuindo versões limpas de **CPU-Z** e **HWMonitor**.