O site da CPUID foi comprometido temporariamente para distribuir malware, substituindo downloads legítimos de ferramentas como HWMonitor e CPU-Z. O problema ocorreu durante um período de aproximadamente seis horas.
Visitantes do site foram expostos a links maliciosos que redirecionavam para instaladores falsos. Usuários no Reddit e em outras plataformas começaram a notar anormalidades quando os instaladores disparavam alertas de antivírus ou apareciam com nomes estranhos.
Um exemplo citado foi a atualização do HWMonitor 1.63 apontando para um arquivo chamado “HWiNFO_Monitor_Setup.exe”, um claro indício de que algo havia sido adulterado.
A CPUID confirmou a violação, atribuindo-a a um componente secundário do sistema que foi comprometido, e não a uma adulteração nos arquivos oficiais dos programas. A empresa afirmou que as investigações ainda estão em andamento.
Em um post no X, um dos responsáveis pelo site disse: “Parece que um recurso secundário (basicamente uma API lateral) foi comprometido por cerca de seis horas entre 9 e 10 de abril, fazendo com que o site principal exibisse links maliciosos aleatoriamente (nossos arquivos originais assinados não foram comprometidos)”. O problema foi identificado e corrigido.
Os arquivos legítimos permanecem devidamente assinados, indicando que o processo de construção do software não foi invadido. A falha estava no mecanismo que servia os downloads. Para quem acessou o site durante a janela comprometida, a distinção oferece pouco consolo, pois o link clicado poderia levar a um código malicioso.
Análise compartilhada pelo grupo vx-underground indica que o instalador malicioso parece ter se dirigido a usuários do HWMonitor de 64 bits. Ele incluía uma DLL falsa chamada CRYPTBASE.dll, projetada para se misturar a componentes legítimos do Windows.
Essa DLL então se conectava a um servidor de comando e controle para baixar cargas úteis adicionais. O malware tentava permanecer o máximo possível fora do disco, operando principalmente na memória e utilizando PowerShell.
Além disso, ele baixava código adicional e compilava um payload .NET na máquina da vítima antes de injetá-lo em outros processos. Há sinais de que o malware buscava dados de navegadores, interagindo, em testes, com a interface IElevation COM do Google Chrome para acessar e descriptografar credenciais armazenadas.
A mesma análise sugere ligações com infraestrutura usada em campanhas anteriores, incluindo uma que visava usuários do FileZilla. Isso indica que o ataque não foi um experimento isolado, mas parte de um plano mais amplo.
A CPUID afirma que o problema foi resolvido. No entanto, não há detalhes sobre como a API foi acessada ou quantas pessoas efetivamente baixaram os arquivos maliciosos. O incidente serve como mais um lembrete de que os atacantes não precisam alterar o código-fonte original para causar danos.
Este tipo de ataque, conhecido como supply-chain compromise (comprometimento da cadeia de suprimentos), tem se tornado mais frequente. Criminosos exploram a confiança dos usuários em sites e software legítimos para distribuir ameaças.
Especialistas em segurança recomendam sempre verificar os hashes dos arquivos e as assinaturas digitais após o download, especialmente quando há alertas de antivírus. Manter o software de segurança atualizado é fundamental para detecção.
Além disso, é aconselhável buscar downloads diretamente na página oficial do desenvolvedor e evitar links de terceiros, mesmo que pareçam legítimos. A vigilância contínua por parte das empresas que mantém os sites é crucial para prevenir brechas semelhantes.
