HWMonitor i CPU-Z zainfekowane złośliwym oprogramowaniem
Ostatni incydent związany z bezpieczeństwem cybernetycznym przyciągnął uwagę społeczności IT: popularne aplikacje HWMonitor i CPU-Z, opracowane przez firmę CPUID, zostały wykorzystane do dystrybucji złośliwego oprogramowania do użytkowników. Wydarzenie to podkreśla rosnące ryzyko związane z atakami typu supply chain i znaczenie weryfikacji źródeł pobierania.
Co się wydarzyło?
Zgodnie z najnowszymi informacjami pojawiającymi się na stronach specjalistycznych (Cybernews, Tom’s Hardware itd.), oficjalna strona CPUID została skompromitowana przez nieznanych napastników. W wyniku naruszenia, użytkownicy, którzy pobierali HWMonitor lub CPU-Z, otrzymywali, zamiast legalnych aplikacji, wersje zainfekowane złośliwym oprogramowaniem.
Atak trwał około sześciu godzin i był możliwy dzięki skompromitowaniu drugorzędnego API strony. W tym czasie linki do pobierania zostały przekierowane do domen kontrolowanych przez napastników, które dostarczały złośliwe pliki zamiast oryginalnych.
Warto zaznaczyć, że oryginalne pliki podpisane cyfrowo nie zostały skompromitowane, a jedynie infrastruktura dystrybucji.
Jak działa ten rodzaj złośliwego oprogramowania?
Złośliwe oprogramowanie, które zostało dystrybuowane, jest złożone, wieloetapowe, zaprojektowane w celu unikania wykrywania przez rozwiązania antywirusowe. Specjaliści zauważyli, że działało prawie całkowicie w pamięci i wykorzystywało zaawansowane techniki unikania.
Ten rodzaj złośliwego oprogramowania używa PowerShell do pobierania dodatkowych plików z serwerów napastników i pozostawia adres zawarty w kodzie, za pomocą którego otrzymuje polecenia.
Aby pozostać niezauważonym, zainfekowany plik został nazwany CRYPTBASE.dll, podobnie jak biblioteka Windows używana przez HWMonitor. Głównym celem ataku było kradzież wrażliwych danych, w szczególności poświadczeń zapisanych w przeglądarkach, takich jak hasła z Google Chrome.
W niektórych przypadkach pobrane pliki miały podejrzane nazwy, takie jak “HWiNFO_Monitor_Setup.exe”, i wykazywały niezwykłe wskazówki, takie jak pliki wykonywalne w języku rosyjskim.
Dlaczego ten incydent jest ważny?
Ten przypadek stanowi wyraźny przykład ataku typu supply chain, w którym hakerzy nie kompromitują bezpośrednio aplikacji, lecz kanał, przez który jest ona dystrybuowana. Tego rodzaju ataki są niezwykle niebezpieczne, ponieważ celują w oprogramowanie zaufane, używane przez miliony osób.
Co więcej, popularność takich aplikacji jak CPU-Z (używanej do identyfikacji komponentów sprzętowych) sprawia, że potencjalny wpływ jest bardzo duży.
Co należy zrobić, jeśli pobrałeś zainfekowane aplikacje?
Jeśli pobrałeś lub zaktualizowałeś HWMonitor lub CPU-Z w dotkniętym okresie, eksperci zalecają:
- Natychmiastowe odinstalowanie aplikacji
- Pełne skanowanie systemu za pomocą zaktualizowanego programu antywirusowego
- Zmiana wszystkich ważnych haseł
- Włączenie uwierzytelniania dwuetapowego (2FA)
- Sprawdzenie aktywności kont online.
W przypadku, gdy złośliwe oprogramowanie zostało zainstalowane, istnieje ryzyko, że dane osobowe mogły zostać skompromitowane.
Jak chronić się w przyszłości?
Aby uniknąć podobnych sytuacji:
- Pobieraj oprogramowanie tylko z oficjalnych źródeł i sprawdzaj integralność plików
- Używaj zaktualizowanych rozwiązań antywirusowych
- Zwracaj uwagę na podejrzane nazwy lub nietypowe zachowania podczas instalacji
- Porównuj hashe lub podpisy cyfrowe plików.
Incydent z HWMonitor i CPU-Z pokazuje, jak bardzo mogą być podatne nawet najpopularniejsze aplikacje. W 2026 roku bezpieczeństwo online nie zależy już tylko od deweloperów, ale także od czujności użytkowników. Dokładna weryfikacja pobrań i przyjęcie solidnych praktyk bezpieczeństwa mogą zrobić różnicę między bezpiecznym a skompromitowanym systemem.
Źródła: tomshardware.com, cybernews.com
