Na semana passada, o conhecido site CPUID do desenvolvedor de hardware foi atacado por hackers. Os hackers substituíram os links de download de vários softwares de monitoramento de hardware, como CPU-Z e HWMonitor. Quando os usuários executam as versões maliciosas lançadas pelos hackers, eles serão infectados por Trojans de acesso remoto. Para ser justo, embora softwares como o CPU-Z sejam muito conhecidos, a equipe CPUID não é uma grande empresa e, portanto, não tem capacidade para conduzir investigações de segurança detalhadas. Portanto, os detalhes ainda dependem de relatórios emitidos por outras empresas de segurança, como a Kaspersky.

Deve haver alguns usuários infectados:

Softwares de detecção ou monitoramento de hardware, como CPU-Z e HWMonitor, são geralmente usados ​​por usuários profissionais. O número de usuários que instalam ativamente esse tipo de software não deve ser muito grande, mas mesmo assim, a Kaspersky detectou pelo menos 150 ataques.

Considerando a atual taxa de utilização da série de software de segurança Kaspersky em todo o mundo, estimamos, de forma conservadora, que o número real de utilizadores infetados deverá ser de dezenas de milhares, com a maioria dos incidentes de infeção a ocorrer no Brasil, na Rússia e na China.

O ataque ocorreu das 15h UTC de 9 de abril de 2026 às 10h UTC de 10 de abril (Horário nacional: 23h do dia 9 de abril de 2026 às 18h do dia 10 de abril de 2026, um total de 19 horas, não as 6 horas anteriormente estimadas pelo CPUID).

Se você baixou software como CPU-Z através do site CPUID durante o período acima, é recomendável fazer backup imediatamente dos dados e reinstalar o sistema. É melhor girar todas as várias chaves e realizar uma verificação completa dos arquivos de backup usando um software como o Kaspersky.

A preguiça dos hackers leva a um menor número de infecções:

Vale ressaltar que a rastreabilidade desse ataque é muito simples, pois o hacker reutilizou o nome de domínio que lançou anteriormente uma versão maliciosa do FileZilla, por isso é fácil atribuí-lo ao grupo de hackers relacionado ao STX RAT.

STX RAT é um Trojan de acesso remoto com HVNC (Advanced Virtual Network Control) e poderosas funções de roubo de informações. Possui funções como controle remoto, execução subsequente de carga útil e operações pós-exploração, como execução de EXE/DLL/PowerShell/shellcode na memória. Ele também pode estabelecer um proxy reverso e realizar interação na área de trabalho.

O problema é que os hackers foram preguiçosos e não registraram um novo nome de domínio. No incidente de envenenamento do FileZilla (o software em si não foi hackeado, mas os hackers lançaram a versão envenenada através da Internet), o nome de domínio C2 relevante foi registrado pela empresa de segurança.

Portanto, softwares de segurança como o Kaspersky podem identificar diretamente nomes de domínio maliciosos e interceptá-los. Em teoria, os usuários que instalam software antivírus como o Kaspersky deveriam ser interceptados quando a versão maliciosa for lançada, enquanto os usuários que não instalam software de segurança podem ser infectados.

Kaspersky disse: As capacidades gerais de desenvolvimento, implantação e operação de malware dos hackers por trás deste ataque foram bastante baixas, o que nos permitiu detectar e bloquear o ataque em um estágio inicial.

saber mais:

https://securelist.com/tr/cpu-z/119365/