Malware στα επίσημα downloads του CPUID: CPU-Z και HWMonitor υπό διερεύνηση

Επίσημα installers με malware payload

Στις 10 Απριλίου 2026, χρήστες άρχισαν να αναφέρουν ότι τα επίσημα download links του cpuid.com για το HWMonitor 1.63 και το CPU-Z 2.19 δεν παρείχαν τα αναμενόμενα installers. Το Igor's Lab ανέφερε ότι το επίσημο download για το HWMonitor v1.63 περιείχε ενσωματωμένο malware. Το κύριο σήμα ήταν ένα εκτελέσιμο με όνομα HWiNFO_Monitor_Setup.exe αντί για το κανονικό installer, συνοδευόμενο από alerts του Windows Defender και, σε ορισμένες περιπτώσεις, από παράθυρο εγκατάστασης στα ρωσικά.

Τι αποκάλυψε η ανάλυση του κακόβουλου κώδικα

Η ομάδα VX Underground ανέλαβε την τεχνική ανάλυση. Σύμφωνα με τα ευρήματά της, το malware εκτελεί file masquerading, είναι multi-stage, λειτουργεί σχεδόν αποκλειστικά in-memory και χρησιμοποιεί τεχνικές αποφυγής EDR και antivirus — μεταξύ άλλων, proxying της NTDLL λειτουργικότητας μέσω .NET assembly. Το VX Underground αναφέρει επίσης ότι πρόκειται για την ίδια ομάδα που πλαστοπροσωπούσε το FileZilla στις αρχές Μαρτίου 2026.

Στόχος: αποθηκευμένα credentials browser

Το payload λειτουργεί ως information stealer που στοχεύει δεδομένα αποθηκευμένα στον browser, συμπεριλαμβανομένων credentials και άλλων ευαίσθητων πληροφοριών. Detections από πολλαπλά security engines στο VirusTotal αποκλείουν το ενδεχόμενο false positive. Στα binaries εντοπίστηκε C2 domain που αποτελεί Indicator of Compromise (IoC), επιβεβαιώνοντας ότι η υποδομή command-and-control ήταν ενεργή.

Η έκταση του προβλήματος παραμένει αδιευκρίνιστη

Η τρέχουσα έκδοση CPU-Z 2.19 περιλαμβάνει στις release notes fix για ευπάθεια DLL hijacking. Το CVE-2025-65264 αφορά ευπάθεια information disclosure στο CPU-Z v2.17 και παλαιότερα, που επιτρέπει πρόσβαση σε ευαίσθητα δεδομένα μέσω του IOCTL interface του kernel driver. Το περιστατικό της 10ης Απριλίου είναι ωστόσο ανεξάρτητο: αφορά τον τρόπο διανομής, όχι την ευπάθεια του λογισμικού. Τα διαθέσιμα στοιχεία δεν αποδεικνύουν κατ' ανάγκη πλήρη παραβίαση της υποδομής του CPUID — ένα poisoned redirect ή endpoint θα αρκούσε για να προκαλέσει την παρατηρούμενη συμπεριφορά.

Καμία ανακοίνωση από CPUID, site ξανά online

Αργότερα την ίδια μέρα το cpuid.com επέστρεψε online μετά από περίοδο που ήταν απροσπέλαστο. Η διαθεσιμότητα του site δεν επιβεβαιώνει από μόνη της ότι τα αρχεία είναι ασφαλή. Η CPUID δεν έχει εκδώσει καμία ανακοίνωση σχετικά με το περιστατικό μέχρι τη στιγμή σύνταξης αυτού του άρθρου. Όποιος κατέβασε και εκτέλεσε ένα από τα ύποπτα installers θα πρέπει να υποθέσει πιθανή έκθεση, να τρέξει πλήρη σάρωση με ενημερωμένο security software και να αλλάξει κωδικούς αποθηκευμένους στον browser. Νέα downloads από τα κανάλια διανομής της CPUID δεν συνίστανται μέχρι να υπάρξει επίσημη επιβεβαίωση ακεραιότητας αρχείων.

Πηγές

• VX Underground – Twitter/X: Ανάλυση του κακόβουλου payload από cpuid.com
• Igor's Lab – Warning: CPUID Suspected of Being a Virus; Suspicious HWMonitor Downloads
• Cybernews – CPUID website compromised with malware, users warn
• Videocardz – Popular CPU-Z and HWMonitor software installers on CPUID site flagged for malware
• PSA: Do NOT download or update CPUID HWMonitor v1.63 (malware reported)
• SentinelOne – CVE-2025-65264: CPU-Z Information Disclosure Vulnerability