Zvanični sajt za preuzimanje CPU-Z i HWMonitor, besplatnih alata koje koriste desetine miliona korisnika računara širom sveta kako bi pratili performanse hardvera, hakovan je 9. i 10. aprila. Tokom približno 19 sati korisnici koji su preuzimali ovaj softver, dobijali su instalacione pakete zaražene malverom. Globalni tim za istraživanje i analizu (GReAT) kompanije Kaspersky identifikovao više od 150 potvrđenih žrtava u više zemalja. Takođe, povezao je infrastrukturu malvera sa prethodnom kampanjom. Ovo je priča o tome kako su hakovani CPU-Z i HWMonitor.
Pomažemo vam da lakše shvatite suštinu i bolje se zaštitite u budućnosti.
Šta su CPU-Z i HWMonitor alati
CPU-Z i HWMonitor spadaju među najčešće preuzimane dijagnostičke alate za PC. Koriste ih entuzijasti za hardver, IT administratori i sistem inženjeri za očitavanje brzine procesora, temperature i potrošnje energije. Njihova popularnost čini period kompromitacije značajnim. Svako ko je preuzeo softver sa cpuid.com u periodu 16:00 CET 9. aprila i 11:00 CET 10. aprila mogao je umesto toga instalirati backdoor.
Kompanija CPUID potvrdila je kompromitaciju i povukla preuzimanja nakon što je napad otkriven. Naknadna analiza tima Kaspersky GReAT pokazala je da je ovaj period trajao približno 19 sati. Ranije je CUPID objavio da je to bilo šest sati, ali to nije tačno.
Pročitajate još:
Pogođena su bila četiri proizvoda. To su CPU-Z 2.19, HWMonitor 1.63, HWMonitor Pro 1.57 i PerfMonitor 2.04. Svi su distribuirani i kao samostalni instalacioni paketi i kao ZIP arhive. Prethodni javni izveštaji takođe nisu bili potpuni, jer su identifikovali samo CPU-Z i HWMonitor kao pogođene.
Šta se zapravo desilo tokom napada
Tokom kompromitacije, linkovi za preuzimanje na cpuid.com zamenjeni su URL adresama koje vode ka četiri sajta pod kontrolom napadača. Trojanski modifikovani paketi sadržali su legitimnu, digitalno potpisanu CPUID izvršnu datoteku zajedno sa zlonamernom DLL bibliotekom. Nakon pokretanja, ova datoteka se povezivala sa udaljenim serverom i na kraju instalirala STX RAT. STX RAT je funkcionalno kompletan backdoor sposoban za krađu podataka i uspostavljanje trajnog daljinskog pristupa.
Tim Kaspersky GReAT potvrdio je da su napadači implementirali backdoor bez izmena. To što znači da ga postojeća javno dostupna YARA rules pravila direktno detektuju.
Istraživači su primetili sličnosti između infrastrukture ovog napada i kampanje iz marta 2026. godine koja je uključivala lažne instalacione pakete za FileZilla. Analiza potvrđuje tu povezanost: adresa komandno-kontrolnog (C2) servera i ugrađeni format konfiguracije identični su onima korišćenim u ranijoj operaciji koju je dokumentovao Malwarebytes.
Pročitajate još:
„Napadi na lanac snabdevanja i watering hole napadi smatraju se najtežim pretnjama za odbranu. To je zato što korisnici nemaju razlog da ne veruju softveru preuzetom sa zvaničnog sajta. Tokom njih, napadači kompromituju pouzdan izvor umesto da direktno ciljaju žrtve. U ovom slučaju, međutim, način na koji je napadač sproveo napad umanjio je njegov efekat. Ponovno korišćenje već dokumentovane infrastrukture i neizmenjenog, javno poznatog backdoor-a značilo je da ažurirana bezbednosna rešenja poput Kaspersky Next mogu da detektuju i blokiraju zlonamerni sadržaj tokom čitavog perioda kompromitacije“, izjavio je Georgi Kučerin, iz Kaspersky GReAT tima.
Više od 150 potvrđenih žrtava
Kaspersky GReAT identifikovao je više od 150 žrtava putem svoje telemetrije. Većinu čine individualni korisnici, što je u skladu sa potrošačkom prirodom softvera kompanije CPUID. Pogođene organizacije obuhvataju sektore maloprodaje, proizvodnje, konsultantskih usluga, telekomunikacija i poljoprivrede.
Studija kompanije Kaspersky iz marta 2026. godine pokazala je da su napadi na lanac snabdevanja najčešća sajber-pretnja sa kojom su se preduzeća suočavala u prethodnih 12 meseci, dok je samo 9% organizacija ove napade rangiralo kao prioritetnu brigu.
Sad kad znate kako su hakovani CPU-Z i HWMonitor…
Sad kad znate kako su hakovani CPU-Z i HWMonitor, Kaspersky svima koji su preuzeli softver sa cpuid.com između 9. i 10. aprila 2026. savetuje da preduzmu sledeće korake:
- Provere mrežne i DNS logove radi utvrđivanja konekcija ka četiri zlonamerna domena za distribuciju identifikovana u tehničkom izveštaju
- Pretraže fajl-sisteme u potrazi za nepotpisanim verzijama datoteke CRYPTBASE.dll koje se nalaze uz CPUID aplikacione fajlove i
- Pokrenu kompletno skeniranje sistema korišćenjem ažuriranog bezbednosnog softvera.
Kompletna lista indikatora kompromitacije, heš vrednosti fajlova i zlonamerni URL-ovi, dati su u punoj tehničkoj analizi Kaspersky GReAT tima na platformi Securelist.
