O site CPUID, desenvolvedor da conhecida ferramenta de detecção de hardware CPU-Z e da ferramenta de monitoramento de hardware HWMonitor, foi recentemente atacado por hackers. Os hackers invadiram o servidor do site por meios desconhecidos e, em seguida, exibiram aleatoriamente links maliciosos no site e induziram os usuários a baixá-los.
Inicialmente, os internautas do Reddit descobriram um problema ao tentar atualizar o HWMonitor v1.63: CPUID forneceu um arquivo muito confuso HWiNFO_Monitor_Setup.exe, que imediatamente acionou um aviso de segurança do Microsoft Defender.
Quando o usuário pensou que era um alarme falso, ignorou o aviso e continuou a executar, o instalador russo apareceu inesperadamente. Isso era obviamente anormal, então o internauta interrompeu a instalação e postou no Reddit para lembrar outros internautas de prestarem atenção a esse problema de segurança.
Depois de receber feedback relevante, a CPUID confirmou oficialmente que o site foi hackeado. De 9 a 10 de abril de 2026, horário local, o site foi hackeado por cerca de 6 horas. No entanto, mais detalhes precisam ser investigados e os arquivos originais dos aplicativos relevantes não foram adulterados.
Como funciona o malware:
O malware entregue pelos hackers contém software CPU-Z normal, mas os hackers agrupam um arquivo malicioso chamado CRYPTEBASE.dll, que é carregado na memória quando o usuário executa o CPU-Z.
Quando o arquivo malicioso começar a ser executado, ele procurará automaticamente as credenciais do navegador e poderá chamar o PowerShell para obter mais instruções do servidor C2, incluindo a tentativa de descriptografar várias senhas de contas salvas localmente pelo navegador Chrome.
A API auxiliar do site CPUID é controlada por:
A julgar pela análise atual, os hackers controlam de alguma forma a API auxiliar no site CPUID, o que permite ao hacker adulterar o link de download sem tocar no servidor do código-fonte. O software relacionado ao CPUID em si não foi adulterado. O hacker substitui principalmente o link de download pelo endereço do programa malicioso.
Considerando a nocividade desses arquivos maliciosos, é recomendado que os usuários que baixaram e instalaram CPU-Z e HWMonitor do site oficial do CPUID de 9 a 11 de abril de 2026 reinstalem diretamente o sistema e, ao mesmo tempo, modifiquem várias senhas de contas para garantir a segurança.
Além disso, para sessões de rede que podem ser desconectadas (como o status de login do navegador Chrome), é recomendável sair da sessão diretamente, o que pode forçar a expiração de quaisquer tokens roubados e melhorar a segurança.