Popularni sajt za preuzimanje PC alata distribuirao malver tokom 19 sati

Zvanični sajt za preuzimanje CPU-Z i HWMonitor — besplatnih alata koje koriste desetine miliona korisnika računara širom sveta kako bi pratili performanse hardvera — kompromitovan je 9. aprila. Tokom približno 19 sati korisnici koji su preuzimali ovaj softver, dobijali su instalacione pakete zaražene malverom. Globalni tim za istraživanje i analizu (GReAT) kompanije Kaspersky identifikovao više od 150 potvrđenih žrtava u više zemalja i povezao infrastrukturu malvera sa prethodnom kampanjom.

CPU-Z i HWMonitor spadaju među najčešće preuzimane dijagnostičke alate za PC, koje rutinski koriste entuzijasti za hardver, IT administratori i sistem inženjeri za očitavanje brzine procesora, temperature i potrošnje energije. Njihova popularnost čini period kompromitacije značajnim: svako ko je preuzeo softver sa cpuid.com u periodu između približno 16:00 CET 9. aprila i 11:00 CET 10. aprila mogao je umesto toga instalirati beckdoor.

Kompanija CPUID potvrdila je kompromitaciju i povukla preuzimanja nakon što je napad otkriven. Naknadna analiza tima Kaspersky GReAT pokazala je da je ovaj period trajao približno 19 sati a ne šest sati koliko je CPUID prvobitno naveo.

Pogođena su četiri proizvoda: CPU-Z 2.19, HWMonitor 1.63, HWMonitor Pro 1.57 i PerfMonitor 2.04, distribuirani i kao samostalni instalacioni paketi i kao ZIP arhive. Prethodni javni izveštaji identifikovali su samo CPU-Z i HWMonitor kao pogođene.

Tokom kompromitacije, linkovi za preuzimanje na cpuid.com zamenjeni su URL adresama koje vode ka četiri veb-sajta pod kontrolom napadača. Trojanski modifikovani paketi sadržali su legitimnu, digitalno potpisanu CPUID izvršnu datoteku zajedno sa zlonamernom DLL bibliotekom. Nakon pokretanja, ova datoteka se povezivala sa udaljenim serverom i na kraju instalirala STX RAT — funkcionalno kompletan backdoor sposoban za krađu podataka i uspostavljanje trajnog daljinskog pristupa. Tim Kaspersky GReAT potvrdio je da su napadači implementirali beckdoor bez izmena, što znači da ga postojeća javno dostupna YARA rules pravila direktno detektuju.

Istraživači iz zajednice primetili su sličnosti između infrastrukture ovog napada i kampanje iz marta 2026. godine koja je uključivala lažne instalacione pakete za FileZilla. Analiza tima Kaspersky GReAT potvrđuje tu povezanost: adresa komandno-kontrolnog (C2) servera i ugrađeni format konfiguracije identični su onima korišćenim u ranijoj operaciji koju je dokumentovao Malwarebytes.

„Napadi na lanac snabdevanja i takozvani watering hole napadi — gde napadači kompromituju pouzdan izvor umesto da direktno ciljaju žrtve — smatraju se među najtežim pretnjama za odbranu, jer korisnici nemaju razlog da ne veruju softveru preuzetom sa zvaničnog veb-sajta. U ovom slučaju, međutim, način na koji je napadač sproveo napad umanjio je njegov efekat: ponovno korišćenje već dokumentovane infrastrukture i neizmenjenog, javno poznatog backdoor-a značilo je da ažurirana bezbednosna rešenja poput Kaspersky Next mogu da detektuju i blokiraju zlonamerni sadržaj tokom čitavog perioda kompromitacije“, izjavio je Georgy Kucherin, viši istraživač bezbednosti u timu Kaspersky GReAT.

Kaspersky GReAT identifikovao je više od 150 žrtava putem svoje telemetrije. Većinu čine individualni korisnici, što je u skladu sa potrošačkom prirodom softvera kompanije CPUID. Pogođene organizacije obuhvataju sektore maloprodaje, proizvodnje, konsultantskih usluga, telekomunikacija i poljoprivrede.

Studija kompanije Kaspersky iz marta 2026. godine pokazala je da su napadi na lanac snabdevanja najčešća sajber-pretnja sa kojom su se preduzeća suočavala u prethodnih 12 meseci, dok je samo 9% organizacija ove napade rangiralo kao prioritetnu brigu.

Kaspersky svima koji su preuzeli softver sa cpuid.com između 9. i 10. aprila 2026. savetuje da preduzmu sledeće korake:

Provere mrežne i DNS logove radi utvrđivanja konekcija ka četiri zlonamerna domena za distribuciju identifikovana u tehničkom izveštaju.

Pretraže fajl-sisteme u potrazi za nepotpisanim verzijama datoteke CRYPTBASE.dll koje se nalaze uz CPUID aplikacione fajlove.

Pokrenu kompletno skeniranje sistema korišćenjem ažuriranog bezbednosnog softvera.