Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Хакеры взломали CPUID и подменили ссылки на загрузку CPU-Z и HWMonitor

Хакеры взломали CPUID и подменили ссылки на загрузку CPU-Z и HWMonitor

Вместо привычных CPU-Z и HWMonitor пользователи получали пакеты с вредоносной DLL и удалённым доступом.

image

Популярные утилиты для мониторинга компьютера внезапно стали каналом заражения. Неизвестные злоумышленники взломали сайт CPUID, откуда пользователи скачивают CPU-Z, HWMonitor, HWMonitor Pro и PerfMonitor, и меньше чем на сутки подменили ссылки на загрузку вредоносными файлами. В самой CPUID признали компрометацию и объяснили инцидент взломом «вторичной функции», из-за которой на основном сайте случайным образом появлялись чужие вредоносные ссылки. При этом подписанные оригинальные файлы компании, по словам разработчиков, злоумышленники не затронули.

По данным Kaspersky, атака продолжалась примерно с 9 апреля 2026 года 15:00 UTC до 10 апреля 10:00 UTC. За это время легальные ссылки на установщики CPU-Z и HWMonitor вели уже не на CPUID, а на подставные домены, где лежали зараженные ZIP-архивы и установщики. Внутри таких пакетов исследователи нашли легитимный подписанный исполняемый файл нужной программы и вредоносную библиотеку CRYPTBASE.dll, которую запускали через подгрузку DLL.

После запуска CRYPTBASE.dll проверяла, не работает ли код в песочнице, связывалась с внешним сервером и подтягивала следующую нагрузку. Конечной стадией заражения становился троян удаленного доступа STX RAT. По данным eSentire, STX RAT умеет не только красть данные, но и выполнять код в памяти, запускать EXE, DLL, PowerShell и shellcode, строить туннели и обратные прокси, а также управлять рабочим столом жертвы через скрытый удаленный сеанс HVNC.

Аналитики связали атаку на CPUID с мартовской кампанией, где тот же вредонос распространяли через поддельные установщики FileZilla. Совпали и адреса серверов управления, и конфигурация соединения. Malwarebytes тогда описывала почти ту же схему: в архив с настоящей программой подбрасывали вредоносную DLL и запускали код через стандартный механизм поиска библиотек Windows. Kaspersky уже насчитала больше 150 пострадавших, в основном частных пользователей, но под удар попали и компании из розницы, производства, консалтинга, телеком-сектора и сельского хозяйства. Больше всего заражений зафиксировали в Бразилии, России и Китае.

Главная ошибка атакующих сыграла против них самих: повторное использование прежней цепочки заражения и тех же доменов для связи с сервером управления резко упростило обнаружение. Kaspersky называет операцию плохо организованной и советует всем, кто скачивал CPU-Z, HWMonitor, HWMonitor Pro или PerfMonitor в указанный промежуток времени, проверить DNS-журналы и файловую систему на следы вредоносных архивов и исполняемых файлов.