Atak na CPUID: trojanizowane instalatory CPU-Z i HWMonitor rozprowadzały malware STX RAT - Security Bez Tabu

Atak na CPUID: trojanizowane instalatory CPU-Z i HWMonitor rozprowadzały malware STX RAT

Cybersecurity news

Wprowadzenie do problemu / definicja

Incydent związany z kompromitacją serwisu CPUID pokazuje, że nawet powszechnie zaufane narzędzia diagnostyczne mogą stać się skutecznym wektorem ataku typu supply chain. Użytkownicy pobierający CPU-Z, HWMonitor oraz PerfMonitor z oficjalnej strony mogli otrzymać zmodyfikowane instalatory zawierające złośliwy kod, który prowadził do infekcji systemów Windows malware klasy RAT i infostealerem określanym jako STX RAT.

To szczególnie niebezpieczny scenariusz, ponieważ atak wykorzystuje zaufanie do renomowanego dostawcy i legalnego kanału dystrybucji. W praktyce oznacza to, że nawet ostrożny użytkownik, pobierający oprogramowanie z oficjalnej witryny, mógł paść ofiarą infekcji.

W skrócie

  • W kwietniu 2026 roku naruszono oficjalną witrynę CPUID.
  • Część linków do pobierania została podmieniona i prowadziła do zainfekowanych pakietów.
  • Oryginalne, podpisane pliki producenta nie zostały bezpośrednio zmodyfikowane.
  • Trojanizowane instalatory dostarczały legalne aplikacje wraz ze złośliwą biblioteką DLL.
  • Infekcja wykorzystywała technikę DLL sideloading do uruchomienia STX RAT.
  • Zagrożenie umożliwiało zdalny dostęp do hosta oraz kradzież danych i poświadczeń.

Kontekst / historia

CPUID to dobrze znany producent narzędzi do identyfikacji sprzętu i monitorowania parametrów systemu. Programy takie jak CPU-Z i HWMonitor są szeroko stosowane przez administratorów, serwisantów, overclockerów i użytkowników indywidualnych. Ich popularność sprawia, że stanowią atrakcyjny cel dla cyberprzestępców prowadzących operacje wymierzone w łańcuch dostaw oprogramowania.

W omawianym przypadku kompromitacja nie dotyczyła bezpośrednio samych binariów producenta, lecz mechanizmu odpowiedzialnego za prezentowanie lub generowanie linków do pobrania. To ważne rozróżnienie, ponieważ atakujący wykorzystali infrastrukturę dystrybucji w taki sposób, aby ofiara nadal miała wrażenie pobierania autentycznego oprogramowania z wiarygodnego źródła.

Dodatkowym wyzwaniem pozostają rozbieżności w ocenie czasu trwania incydentu. Według części informacji zdarzenie miało trwać około sześciu godzin, natomiast analizy bezpieczeństwa sugerują szersze okno aktywności. Takie różnice są typowe dla świeżych incydentów i zwykle wynikają z odmiennych źródeł telemetrycznych oraz różnych definicji początku kompromitacji.

Analiza techniczna

Kluczowym elementem ataku była kompromitacja backendu odpowiedzialnego za dystrybucję linków do pobierania. Z perspektywy użytkownika cały proces wyglądał wiarygodnie: odwiedzał oficjalną stronę produktu, klikał przycisk pobrania i otrzymywał instalator lub archiwum ZIP. Problem polegał na tym, że w określonym czasie witryna kierowała część użytkowników do zasobów kontrolowanych przez napastników.

Dostarczane pakiety zawierały prawidłową aplikację oraz dodatkowy plik cryptbase.dll, który nie był legalnym modułem systemowym, lecz złośliwym komponentem uruchamianym metodą DLL sideloading. Technika ta polega na wykorzystaniu sposobu, w jaki aplikacja wyszukuje biblioteki DLL. Jeżeli w katalogu programu znajduje się plik o oczekiwanej nazwie, aplikacja może załadować go zamiast właściwej biblioteki, umożliwiając wykonanie złośliwego kodu bez zakłócania działania legalnego programu.

To podejście znacząco utrudnia wykrycie incydentu. Użytkownik nadal widzi uruchomione i działające narzędzie diagnostyczne, podczas gdy równolegle wykonywany jest malware. Końcowy ładunek, STX RAT, łączy funkcje zdalnego dostępu z możliwościami kradzieży danych. Według analiz koncentruje się on na pozyskiwaniu haseł zapisanych w przeglądarkach, danych z portfeli kryptowalutowych, poświadczeń klientów FTP i innych wrażliwych artefaktów obecnych na stacji roboczej.

Atak można postrzegać jako połączenie dwóch modeli działania. Z jednej strony jest to klasyczny incydent supply chain, ponieważ wykorzystano zaufany kanał dostarczania oprogramowania. Z drugiej strony ma on cechy watering hole, ponieważ użytkownicy byli infekowani podczas odwiedzania popularnej, legalnej strony internetowej używanej przez określoną grupę techniczną.

Konsekwencje / ryzyko

Ryzyko związane z tym incydentem wykracza daleko poza pojedyncze zainfekowanie komputera. CPU-Z i HWMonitor są często uruchamiane przez osoby techniczne, które mają dostęp do wrażliwych środowisk, narzędzi administracyjnych i danych uwierzytelniających. W rezultacie kompromitacja takiego hosta może stać się punktem wyjścia do dalszych działań w sieci organizacji.

Najważniejsze zagrożenia obejmują:

  • kradzież haseł zapisanych w przeglądarkach,
  • pozyskanie danych z portfeli kryptowalutowych i klientów FTP,
  • uzyskanie trwałego zdalnego dostępu do systemu,
  • możliwość ruchu lateralnego w sieci firmowej,
  • obejście czujności użytkownika dzięki wykorzystaniu legalnego oprogramowania,
  • utrudnioną detekcję z uwagi na równoległe działanie prawidłowej aplikacji.

Dla przedsiębiorstw szczególnie istotne jest to, że potencjalne ofiary mogły znajdować się również w środowiskach korporacyjnych. Nawet jeżeli liczba potwierdzonych przypadków nie była ogromna, skala potencjalnej ekspozycji pozostaje duża ze względu na popularność narzędzi CPUID.

Rekomendacje

Użytkownicy i organizacje, które pobierały narzędzia CPUID w okolicach 9–10 kwietnia 2026 roku, powinny traktować swoje systemy jako potencjalnie skompromitowane. W takiej sytuacji nie należy ograniczać się wyłącznie do usunięcia programu, lecz przeprowadzić pełną analizę bezpieczeństwa hosta.

  • Zidentyfikować wszystkie stacje, na których pobrano lub uruchomiono CPU-Z, HWMonitor, HWMonitor Pro albo PerfMonitor w czasie okna kompromitacji.
  • Odizolować podejrzane hosty od sieci do czasu zakończenia analizy.
  • Sprawdzić katalogi instalacyjne pod kątem nieautoryzowanych bibliotek DLL, szczególnie plików podszywających się pod moduły systemowe.
  • Przeanalizować logi EDR, Sysmon i Windows Event Logs pod kątem nietypowego ładowania bibliotek oraz połączeń wychodzących.
  • Zresetować hasła przechowywane w przeglądarkach oraz przeprowadzić rotację poświadczeń uprzywilejowanych.
  • Wymusić ponowne logowanie do VPN, klientów FTP, kont administracyjnych i usług deweloperskich.
  • Przeskanować systemy przy użyciu aktualnych sygnatur AV i detekcji behawioralnych związanych ze STX RAT oraz DLL sideloading.
  • Rozważyć pełną reinstalację systemu, jeśli podejrzany instalator został uruchomiony na hoście z dostępem do zasobów krytycznych.
  • Wdrożyć dodatkową kontrolę integralności kanałów pobierania, w tym weryfikację hashy i polityki allowlisting.
  • Ograniczyć użycie narzędzi diagnostycznych na kontach uprzywilejowanych i oddzielić środowiska administracyjne od codziennej pracy użytkownika.

Długoterminowo incydent ten pokazuje, że samo pobranie pliku z oficjalnej strony nie powinno być uznawane za wystarczający dowód bezpieczeństwa. Konieczne jest łączenie zaufania do źródła z kontrolą podpisów cyfrowych, sum kontrolnych oraz monitorowaniem zachowania aplikacji po uruchomieniu.

Podsumowanie

Atak na CPUID jest wyraźnym przykładem nadużycia zaufanego kanału dystrybucji oprogramowania do rozprowadzania malware bez modyfikowania oryginalnych binariów producenta. Użytkownik mógł pobrać pakiet wyglądający na legalny i pochodzący z oficjalnej strony, a mimo to uruchomić złośliwy kod prowadzący do infekcji STX RAT.

Z perspektywy obrony najważniejsze są szybka identyfikacja potencjalnie zagrożonych hostów, analiza śladów DLL sideloading, rotacja poświadczeń i przyjęcie założenia, że każda stacja z podejrzanego okresu może być przejęta. Incydent ten stanowi ważne ostrzeżenie dla zespołów bezpieczeństwa i potwierdza, że ochrona łańcucha dostaw musi obejmować nie tylko sam kod aplikacji, ale również infrastrukturę publikacji i mechanizmy dostarczania plików.

Źródła

  1. SecurityWeek
  2. Tom’s Hardware
  3. PurpleOps