CPU-Z e HWMonitor foram infectados com vírus após invasão criminosa

Hackers invadiram uma API secundária do projeto CPUID e alteraram os links de download no site oficial das ferramentas CPU-Z e HWMonitor. Esses recursos são dois dos programas de diagnóstico de hardware mais baixados do mundo.

Por conta da vulnerabilidade, usuários baixaram executáveis trojanizados entre os dias 9 e 10 de abril. O problema foi identificado e corrigido pela empresa, que confirmou que os binários originais assinados não foram comprometidos.

O ataque afetou especificamente uma API lateral, basicamente um sistema auxiliar que o site usa nos bastidores para gerenciar para onde os botões de download apontam.

hacker-mexendo-em-computadores — A API lateral é um sistema é usado para gerenciar redirecionamentos de download.

Loader avançado com técnicas de evasão de EDR

Os arquivos distribuídos pelos links adulterados estavam hospedados no serviço de armazenamento em nuvem Cloudflare R2. Eles se disfarçavam de versão trojanizada de outra ferramenta de monitoramento de hardware de um desenvolvedor diferente, o HWiNFO.

O arquivo malicioso tinha o nome HWiNFO_Monitor_Setup e, ao ser executado, abria um instalador russo com empacotamento Inno Setup. Este é um empacotador muito comum em software legítimo, mas aqui usado como camada de disfarce.

Usuários que perceberam o problema relataram o caso no Reddit. A distribuição maliciosa foi confirmada pelo canal Igor's Labs e pelo perfil @vxunderground, que analisaram o payload e identificaram um loader sofisticado.

“ O domínio C2 presente em um dos binários é um claro indicador de comprometimento (IoC). Este é o mesmo grupo de ameaças que estava se passando pelo FileZilla no início de março de 2026. Eles têm estado bastante ativos”, explicou o pesquisador vxunderground no X. Imagem: vxunderground.

O malware vai além de uma ameaça comum porque ele é multi-estágio. Isso significa que ele opera quase inteiramente em memória. Além disso, ele realiza mascaramento de arquivos e usa uma técnica específica para escapar de antivírus e soluções EDR, o proxy de funcionalidades da NTDLL a partir de um assembly .NET.

O arquivo ZIP malicioso era detectado por 20 motores antivírus no VirusTotal no momento da análise, ainda que sem classificação clara. Alguns o identificaram como Tedy Trojan, outros como Artemis Trojan. Pesquisadores na mesma plataforma apontaram que a variante falsa do HWiNFO funciona como um infostealer, um tipo de malware especializado no roubo de informações.

Mesmo grupo teria atacado usuários do FileZilla no mês passado

O vxunderground sugeriu que se trata do mesmo grupo de ameaça que comprometeu a distribuição do cliente FTP FileZilla no mês anterior. Com isso, assume-se que o coletivo adota um padrão de ataques direcionados a utilitários amplamente usados.

ilustracao-com-alerta-de-malware — CPU-Z e HWMonitor acumulam milhões de usuários que dependem das ferramentas para monitorar a saúde física de componentes e obter especificações detalhadas de hardware.

O CPUID informou ao BleepingComputer que o comprometimento durou aproximadamente seis horas e ocorreu enquanto o desenvolvedor principal estava em período de férias. Os links de download atualmente apontam para versões limpas de ambos os softwares.

Acompanhe o TecMundo nas redes sociais para saber mais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.