La semana pasada, el conocido sitio web del desarrollador de hardware CPUID fue atacado por piratas informáticos. Los piratas informáticos reemplazaron los enlaces de descarga de múltiples programas de monitoreo de hardware, como CPU-Z y HWMonitor. Cuando los usuarios ejecutan las versiones maliciosas lanzadas por los piratas informáticos, quedarán infectados con troyanos de acceso remoto. Para ser justos, aunque software como CPU-Z es muy conocido, el equipo de CPUID no es una empresa grande y, por lo tanto, no tiene la capacidad de realizar investigaciones de seguridad detalladas. Por tanto, los detalles aún dependen de informes emitidos por otras empresas de seguridad, como Kaspersky.
Debería haber bastantes usuarios infectados:
Los usuarios profesionales suelen utilizar software de detección o supervisión de hardware, como CPU-Z y HWMonitor. El número de usuarios que instalan activamente este tipo de software no debería ser muy grande, pero aun así, Kaspersky ha detectado al menos 150 ataques.
Teniendo en cuenta la tasa de uso actual de la serie de software de seguridad Kaspersky en todo el mundo, suponemos de manera conservadora que el número real de usuarios infectados debería ser de decenas de miles, y que la mayoría de los incidentes de infección ocurren en Brasil, Rusia y China.
El ataque ocurrió desde las 15:00 UTC del 9 de abril de 2026 hasta las 10:00 UTC del 10 de abril (Hora nacional: 23:00 del 9 de abril de 2026 a 18:00 del 10 de abril de 2026, un total de 19 horas, no las 6 horas estimadas previamente por CPUID).
Si descargó software como CPU-Z a través del sitio web de CPUID durante el período anterior, se recomienda hacer una copia de seguridad de los datos inmediatamente y reinstalar el sistema. Es mejor rotar todas las claves y realizar un análisis completo de los archivos de copia de seguridad utilizando un software como Kaspersky.
La pereza de los piratas informáticos conduce a un menor número de infecciones:
Vale la pena señalar que la trazabilidad de este ataque es muy simple, porque el hacker reutilizó el nombre de dominio que anteriormente lanzó una versión maliciosa de FileZilla, por lo que es fácil atribuirlo al grupo de hackers relacionado con STX RAT.
STX RAT es un troyano de acceso remoto con HVNC (Advanced Virtual Network Control) y potentes funciones de robo de información. Tiene funciones como control remoto, ejecución posterior de carga útil y operaciones posteriores a la explotación, como ejecutar EXE/DLL/PowerShell/shellcode en la memoria. También puede establecer un proxy inverso y realizar interacción con el escritorio.
El problema es que los piratas informáticos fueron vagos y no registraron un nuevo nombre de dominio. En el incidente de envenenamiento de FileZilla (el software en sí no fue pirateado, pero los piratas informáticos publicaron la versión envenenada a través de Internet), la empresa de seguridad registró el nombre de dominio C2 correspondiente.
Por lo tanto, un software de seguridad como Kaspersky puede identificar directamente nombres de dominio maliciosos e interceptarlos. En teoría, los usuarios que instalan software antivirus como Kaspersky deberían ser interceptados cuando se lanza la versión maliciosa, mientras que los usuarios que no instalan software de seguridad pueden resultar infectados.
Kaspersky dijo: Las capacidades generales de desarrollo, implementación y operación de malware de los piratas informáticos detrás de este ataque fueron bastante bajas, lo que nos permitió detectar y bloquear el ataque en una etapa temprana.
aprender más:
https://securelist.com/tr/cpu-z/119365/