El sitio web de CPUID, desarrollador de la conocida herramienta de detección de hardware CPU-Z y de la herramienta de monitoreo de hardware HWMonitor, fue atacado recientemente por piratas informáticos. Los piratas informáticos invadieron el servidor del sitio web por medios desconocidos y luego mostraron aleatoriamente enlaces maliciosos en el sitio web e indujeron a los usuarios a descargarlos.
Inicialmente, los internautas de Reddit descubrieron un problema al intentar actualizar HWMonitor v1.63: CPUID proporcionó un archivo muy confuso HWiNFO_Monitor_Setup.exe, que inmediatamente activó una advertencia de seguridad de Microsoft Defender.
Cuando el usuario pensó que era una falsa alarma e ignoró la advertencia y continuó ejecutando, apareció inesperadamente el instalador ruso. Obviamente, esto era anormal, por lo que el internauta interrumpió la instalación y publicó en Reddit para recordar a otros internautas que prestaran atención a este problema de seguridad.
Después de recibir comentarios relevantes, CPUID confirmó oficialmente que el sitio web fue pirateado. Del 9 al 10 de abril de 2026, hora local, el sitio web fue pirateado durante aproximadamente 6 horas. Sin embargo, es necesario investigar más detalles y los archivos originales de las aplicaciones pertinentes no han sido alterados.
Cómo funciona el malware:
El malware entregado por los piratas informáticos contiene software CPU-Z normal, pero los piratas informáticos incluyen un archivo malicioso llamado CRYPTEBASE.dll en su interior, que se carga en la memoria cuando el usuario ejecuta CPU-Z.
Cuando el archivo malicioso comience a ejecutarse, buscará automáticamente las credenciales del navegador y podrá llamar a PowerShell para obtener más instrucciones del servidor C2, incluido intentar descifrar varias contraseñas de cuentas guardadas localmente por el navegador Chrome.
La API auxiliar del sitio web CPUID está controlada por:
A juzgar por el análisis actual, los piratas informáticos controlan la API auxiliar en el sitio web de CPUID de alguna manera, lo que les permite alterar el enlace de descarga sin tocar el servidor del código fuente. El software relacionado con CPUID no ha sido manipulado. El hacker reemplaza principalmente el enlace de descarga con la dirección del programa malicioso.
Teniendo en cuenta la nocividad de estos archivos maliciosos, se recomienda que los usuarios que descargaron e instalaron CPU-Z y HWMonitor desde el sitio web oficial de CPUID del 9 al 11 de abril de 2026 reinstale directamente el sistema y, al mismo tiempo, modifique varias contraseñas de cuentas para garantizar la seguridad.
Además, para las sesiones de red en las que se puede cerrar sesión (como el estado de inicio de sesión del navegador Chrome), se recomienda cerrar la sesión directamente, lo que puede forzar la caducidad de los tokens robados y mejorar la seguridad.