Die beliebten Anwendungen HWMonitor und CPU-Z wurden mit Malware infiziert
Ein jüngster Vorfall im Bereich der Cybersicherheit hat die Aufmerksamkeit der IT-Community auf sich gezogen: Die beliebten Anwendungen HWMonitor und CPU-Z, entwickelt von der Firma CPUID, wurden zur Verbreitung von Malware an Nutzer verwendet. Dieses Ereignis unterstreicht die ständig wachsenden Risiken von Supply-Chain-Angriffen und die Bedeutung der Überprüfung von Download-Quellen.
Was ist passiert?
Nach den neuesten Informationen, die auf Fachseiten (Cybernews, Tom’s Hardware usw.) erschienen sind, wurde die offizielle Website von CPUID von unbekannten Angreifern kompromittiert. Infolge der Sicherheitslücke erhielten Nutzer, die HWMonitor oder CPU-Z herunterluden, anstelle der legitimen Anwendungen mit Malware infizierte Versionen.
Der Angriff dauerte etwa sechs Stunden und wurde durch die Kompromittierung einer sekundären API der Website ermöglicht. In diesem Zeitraum wurden die Download-Links auf von den Angreifern kontrollierte Domains umgeleitet, die anstelle der Originaldateien bösartige Dateien lieferten.
Wichtig ist, dass die digital signierten Originaldateien nicht kompromittiert wurden, sondern lediglich die Vertriebsinfrastruktur.
Wie funktioniert diese Art von Malware?
Die verbreitete Malware ist komplex, mehrstufig und darauf ausgelegt, die Erkennung durch Antiviren-Lösungen zu umgehen. Spezialisten haben beobachtet, dass sie fast vollständig im Arbeitsspeicher funktionierte und fortschrittliche Umgehungstechniken verwendete.
Diese Art von Malware verwendet PowerShell, um zusätzliche Dateien von den Servern der Angreifer herunterzuladen, und hinterlässt eine im Code enthaltene Adresse, über die sie Befehle empfängt.
Um unbemerkt zu bleiben, wurde die infizierte Datei als CRYPTBASE.dll benannt, ähnlich der von HWMonitor verwendeten Windows-Bibliothek. Das Hauptziel des Angriffs war der Diebstahl sensibler Daten, insbesondere im Browser gespeicherter Anmeldeinformationen wie Passwörter aus Google Chrome.
In einigen Fällen hatten die heruntergeladenen Dateien verdächtige Namen, wie „HWiNFO_Monitor_Setup.exe“, und wiesen ungewöhnliche Merkmale auf, wie z.B. ausführbare Dateien in russischer Sprache.
Warum ist dieser Vorfall wichtig?
Dieser Fall ist ein klares Beispiel für einen Supply-Chain-Angriff, bei dem Hacker nicht direkt die Anwendung kompromittieren, sondern den Kanal, über den sie verteilt wird. Solche Angriffe sind extrem gefährlich, da sie auf vertrauenswürdige Software abzielen, die von Millionen von Menschen genutzt wird.
Darüber hinaus führt die Popularität von Anwendungen wie CPU-Z (zur Identifizierung von Hardwarekomponenten) zu einem potenziell sehr großen Einfluss.
Was tun, wenn Sie die mit Malware infizierten Anwendungen heruntergeladen haben?
Wenn Sie HWMonitor oder CPU-Z während des betroffenen Zeitraums heruntergeladen oder aktualisiert haben, empfehlen Experten:
- Sofortige Deinstallation der Anwendung
- Vollständiger Systemscan mit einem aktualisierten Antivirenprogramm
- Änderung aller wichtigen Passwörter
- Aktivierung der Zwei-Faktor-Authentifizierung (2FA)
- Überprüfung der Online-Kontoaktivitäten.
Im Falle einer Malware-Installation besteht das Risiko, dass persönliche Daten kompromittiert wurden.
Wie schützen Sie sich in Zukunft?
Um ähnliche Situationen zu vermeiden:
- Laden Sie Software nur aus offiziellen Quellen herunter und überprüfen Sie die Integrität der Dateien
- Verwenden Sie aktualisierte Antiviren-Lösungen
- Achten Sie auf verdächtige Namen oder ungewöhnliches Verhalten während der Installation
- Vergleichen Sie die Hashes oder digitalen Signaturen der Dateien.
Der Vorfall mit HWMonitor und CPU-Z zeigt, wie anfällig selbst die beliebtesten Anwendungen sein können. Im Jahr 2026 hängt die Online-Sicherheit nicht mehr nur von den Entwicklern ab, sondern auch von der Wachsamkeit der Nutzer. Eine sorgfältige Überprüfung von Downloads und die Anwendung solider Sicherheitspraktiken können den Unterschied zwischen einem sicheren und einem kompromittierten System ausmachen.
Quellen: tomshardware.com, cybernews.com
