🔗 На сайте CPUID обнаружена подмена установщиков HWMonitor и CPU-Z
📱 Пользователи Reddit обнаружили подмену инсталляторов на официальных страницах CPUID. При попытке скачать актуальные версии HWMonitor 1.63 или CPU-Z 2.19 система перенаправляет запрос на сторонние хостинги Cloudflare R2. Вместо оригинальных утилит загружается файл HWiNFO_Monitor_Setup.exe, который не имеет отношения к разработчикам, содержит интерфейс на русском языке и определяется встроенной защитой Windows как вредоносное ПО.
Приложения для доступа к информации об аппаратном обеспечении ПК — HWMonitor (1.63) и CPU-Z (2.19) — на данный момент считаются скомпрометированными.
Несоответствие имен файлов и необычное поведение установщиков указывают на взлом инфраструктуры сайта или подмену ссылок.
У исполняемых файлов проявляется свойствоенное для ВПО поведение:
— внутри установщика распространяется фальшивый CRYPTBASE.dll
— происходит подключение к C2-серверу и загрузка C#-payload
— код компилируется на ПК жертвы с использованием инструментов Windows
— вредонос внедряется прямо в память, обходя запись на диск (антивирус может не сработать)
— открывает хранилище паролей Chrome и, вероятно, сливает их и другие данные
До выпуска официального заявления стоит полностью отказаться от загрузки софта с сайта cpuid.com и не запускать уже скачанные за последние несколько дней пакеты, если их поведение или названия отличаются от стандартных.
➖➖➖➖➖➖➖➖➖
