De CPUID-website, ontwikkelaar van de bekende hardwaredetectietool CPU-Z en hardwaremonitoringtool HWMonitor, werd onlangs aangevallen door hackers. De hackers zijn op onbekende wijze de server van de website binnengevallen en hebben vervolgens willekeurig kwaadaardige links op de website weergegeven en gebruikers ertoe aangezet deze te downloaden.
Aanvankelijk ontdekten Reddit-netizens een probleem bij het updaten van HWMonitor v1.63: CPUID leverde een zeer verwarrend bestand HWiNFO_Monitor_Setup.exe, dat onmiddellijk een beveiligingswaarschuwing van Microsoft Defender veroorzaakte.
Toen de gebruiker dacht dat het vals alarm was en de waarschuwing negeerde en doorging met draaien, verscheen onverwachts het Russische installatieprogramma. Dit was duidelijk abnormaal, dus onderbrak de internetgebruiker de installatie en plaatste een bericht op Reddit om andere internetgebruikers eraan te herinneren aandacht te besteden aan dit beveiligingsprobleem.
Na relevante feedback te hebben ontvangen, bevestigde CPUID officieel dat de website was gehackt. Van 9 tot 10 april 2026 lokale tijd werd de website ongeveer 6 uur lang gehackt. Er moeten echter meer details worden onderzocht en er is niet geknoeid met de originele dossiers van de betreffende aanvragen.
Hoe malware werkt:
De door de hackers geleverde malware bevat normale CPU-Z-software, maar de hackers bundelen daarin een kwaadaardig bestand met de naam CRYPTEBASE.dll, dat in het geheugen wordt geladen wanneer de gebruiker CPU-Z uitvoert.
Wanneer het schadelijke bestand wordt gestart, zoekt het automatisch naar browsergegevens en kan het PowerShell aanroepen om meer instructies van de C2-server te verkrijgen, waaronder het proberen om verschillende accountwachtwoorden te ontsleutelen die lokaal door de Chrome-browser zijn opgeslagen.
CPUID Website hulp-API wordt bestuurd door:
Afgaande op de huidige analyse controleren hackers op de een of andere manier de hulp-API op de CPUID-website, waardoor de hacker met de downloadlink kan knoeien zonder de broncodeserver aan te raken. Er is niet met de CPUID-gerelateerde software zelf geknoeid. De hacker vervangt voornamelijk de downloadlink door het adres van het kwaadaardige programma.
Gezien de schadelijkheid van deze kwaadaardige bestanden, wordt het aanbevolen dat gebruikers die CPU-Z en HWMonitor van de officiële CPUID-website van 9 tot 11 april 2026 hebben gedownload en geïnstalleerd, het systeem direct opnieuw installeren en tegelijkertijd verschillende accountwachtwoorden wijzigen om de veiligheid te garanderen.
Bovendien wordt voor netwerksessies die kunnen worden uitgelogd (zoals de inlogstatus van de Chrome-browser) aanbevolen om direct uit te loggen bij de sessie, waardoor eventuele gestolen tokens kunnen vervallen en de beveiliging kan worden verbeterd.