Mon, 13 Apr 2026
← VoltarO site do CPUID foi comprometido, fazendo com que os usuários baixassem malware em vez de software legítimo por cerca de seis horas. O problema foi identificado e resolvido.
Se você tentou baixar software do site da CPUID no final da semana passada, pode ter baixado malware. “As investigações ainda estão em andamento, mas parece que um recurso secundário (basicamente uma API secundária) foi comprometido por aproximadamente seis horas entre 9 e 10 de abril, fazendo com que o site principal exibisse aleatoriamente links maliciosos (nossos arquivos originais assinados não foram comprometidos)”, afirmou Samuel Demeulemeester, colaborador do CPUID, na sexta-feira, e pediu desculpas aos usuários afetados. “A violação foi encontrada e já foi corrigida”, acrescentou. Um CPUID “watering hole” envenenado (em cpuid[.]com) é um site que hospeda utilitários de software gratuitos, principalmente para Windows e Android.
Entre seus utilitários mais populares estão o HWMonitor, um programa de monitoramento de hardware que lê os principais sensores de saúde de um PC, e o CPU-Z, um utilitário que coleta informações detalhadas sobre o processador, codinome, processo, pacote e níveis de cache dos PCs. Alertas de que algo estava errado começaram a aparecer no Reddit na sexta-feira, 10 de abril, e um usuário notou que seu antivírus sinalizou o HWiNFO_Monitor_Setup.exe baixado como malicioso. Os pesquisadores da Kaspersky dizem que o site CPUID redirecionou para download malicioso de 9 de abril, 15h UTC, a 10 de abril, 10h UTC. "O software trojanizado foi distribuído como arquivos ZIP e como instaladores independentes para os produtos mencionados acima.
Esses arquivos contêm um executável legítimo assinado para o produto correspondente e uma DLL maliciosa chamada CRYPTBASE.dll para aproveitar a técnica de carregamento lateral de DLL", explicaram. "A DLL maliciosa é responsável pela conexão C2 e posterior execução da carga útil. Antes disso, ela também executa um conjunto de verificações anti-sandbox e, se todas as verificações forem aprovadas, ela se conecta ao servidor C2." O pesquisador de malware Giuseppe Massaro também sinalizou os downloads de CPU-Z, HWMonitor Pro, PerfMonitor e PowerMAX como trojanizados/maliciosos. “Os binários assinados originais do CPUID NÃO foram comprometidos – o invasor serviu seus próprios pacotes trojanizados via redirecionamento”, descobriu Massaro.
“A API comprometida fez com que os links de download fossem redirecionados aleatoriamente para URLs maliciosos (buckets Cloudflare R2).” O domínio de comando e controle (em supp0v3[.]com) do qual o malware foi baixado foi usado anteriormente em uma campanha de malware direcionada a usuários do FileZilla com um domínio semelhante e um download trojanizado. Um subdomínio (ai.supp0v3.com) expunha o servidor backend, Massaro também descobriu durante sua análise. "O servidor usa um certificado curinga VK.com (VKontakte) roubado ou autoassinado com dados de localidade russa (São Petersburgo). Isso, combinado com a escolha de hospedagem à prova de balas (Global Connectivity Solutions - um provedor frequentemente usado para hospedagem maliciosa), sugere fortemente um ator de ameaça no nexo russo", observou ele.
"O mesmo IP foi usado para explorações anteriores de atalho .url (CVE-2023-36025 SmartScreen bypass) visando downloads do LibreOffice e do Google Drive, compartilhando cargas úteis VBS via WebDAV (file://147.45.178.61@80/file/…). Isso conecta a campanha atual de sideload de DLL a uma campanha anterior de exploração de atalho do Windows pelo mesmo ator. " O que fazer? A carga maliciosa nesta campanha watering hole é o STX RAT, um trojan de acesso remoto persistente com recursos de roubo de credenciais e dados.
De acordo com o eSentire, é atrás de credenciais/cookies do navegador, carteiras criptografadas e credenciais de cliente FTP. Os investigadores da Kaspersky salientaram que os erros dos atacantes – reutilizando uma cadeia de infecção previamente sinalizada e nomes de domínio usados em ataques anteriores – resultaram numa detecção rápida deste último ataque watering hole. No entanto, com base na sua telemerdade, identificaram mais de 150 v ítimas, a maioria delas indivíduos. “No entanto, várias organizações de vários setores, incluindo varejo, manufatura, consultoria, telecomunicações e agricultura, também foram afetadas pela maioria das infecções no Brasil, Rússia e China”, acrescentaram.
Eles aconselharam as organizações a verificarem seus sistemas em busca de vestígios de arquivos maliciosos e arquivos executáveis relacionados a este ataque, e a examinarem os logs DNS em busca de sites maliciosos dos quais os instaladores trojanizados foram baixados. Se forem descobertas evidências de comprometimento, as organizações (e indivíduos) deverão limpar os sistemas afetados e alterar todas as credenciais que o malware possa ter comprometido.