CPUID gehackt: Schadcode in CPU-Z- und HWMonitor

[HWL News Bot]

Beim Softwareanbieter CPUID ist es zu einem Sicherheitsvorfall gekommen, bei dem Angreifer die Download-Infrastruktur kompromittiert haben. Betroffen waren unter anderem die weitverbreiteten Tools CPU-Z und HWMonitor, die üblicherweise zur Analyse von Systemkomponenten und zur Überwachung von Hardwarezuständen eingesetzt werden.
... weiterlesen

 

[Eddy_MX]

Nicht so gut. War auch das Programm auf der offiziellen Homepage betroffen?

 

[KaNoHLF]

Guckst du: https://gist.github.com/N3mes1s/b5b0b96782b9f832819d2db7c6684f84

Aber ja. Irgendwie scheint mir das so, die Supply Chain Attacks nehmen son bisserl an fahrt auf, oder ?!?

Edit: Habe es für mich mal durchgespielt:

This is NOT a compromise of CPUID's build infrastructure. The bundled executables are genuinely signed by CPUID and Microsoft:

Binary     Signer     Certificate     Signed Date     VT Detection
cpuz_x32.exe     CPUID + Microsoft Windows HCP     Sectigo EV Code Signing     2026-03-16 10:44 AM     0/77 (clean)
cpuz_x64.exe     CPUID + Microsoft Windows HCP     Sectigo EV Code Signing     2026-03-16 10:45 AM     0/77 (clean)

The attack is a software repackaging attack: the threat actor downloads official CPUID releases, adds a malicious CRYPTBASE.dll, and repackages as ZIP for distribution.
Distribution vectors likely include:
    Malvertising via Google Ads (consistent with the 2023 CPU-Z malvertising campaign)
    SEO poisoning with fake download sites
    Fake software portals (file names like cpu-z_2.19-en.zip, cpu-z.zip, cpu-z_2.19.zip suggest multiple distribution channels)

SHA2-256(D:\Install\PC Diagnostic\CPU-Z\2.19\cpuz.ini)= b7b3560e286ba5f39c019e99face5cfa68cca42cf29bbe2e0f0d1e9626de5c8f

SHA2-256(D:\Install\PC Diagnostic\CPU-Z\2.19\cpuz_readme.txt)= 7eb3223b9759e6553fdb23f93b384f451af342982a21343735d4349827e5d1a5

SHA2-256(D:\Install\PC Diagnostic\CPU-Z\2.19\cpuz_x32.exe)= d4b7556f00a6d5ea5a47a5aefe267681334167db8c83ba94806da3dfd9fdca79

SHA2-256(D:\Install\PC Diagnostic\CPU-Z\2.19\cpuz_x64.exe)= 8e0077a742183fbcbb4f6cf2fe945ea2ced13a058ccf79f5b81157ededc47e16

SHA2-256(C:\Windows\System32\cryptbase.dll)= f2904441a36aa3bb535e42a6ab2dcd004fd84564a0e5a85cc42c8a54af6176d3

SHA2-256(C:\Windows\SysWOW64\cryptbase.dll)= 2ef73abbd2baed205993f6550c40cac88f76d643dc2d498f28da1386c360c9e8

 

[Mr.Mito]

Schade das wirklich alles relevante in der News fehlt. Wie können User etwas prüfen? Um welche dlls wurden die Pakete erweitert? Bleibt die dll bestehen nach nachladen des RAT?

 

[Schmufix]

Schade das wirklich alles relevante in der News fehlt. Wie können User etwas prüfen? Um welche dlls wurden die Pakete erweitert? Bleibt die dll bestehen nach nachladen des RAT?

cryptbase.dll Guggstu

 

[Undercover]

Alles nur noch 🤮

 

[BobbyD]

Habe es für mich mal durchgespielt:

Was genau hast Du da wie "durchgespielt"? Die Aussage zu "Distribution vectors" ist verharmlosend, was soll also dieser Post.

Nutzern wird empfohlen, heruntergeladene Dateien aus dem betroffenen Zeitraum zu überprüfen und gegebenenfalls zu ersetzen.

Wie jetzt, wenn ich den betroffenen Installer noch da hab, soll ich diesen einfach gegen was neues ersetzen... Wie wäre es denn mal mit einer ernsthaften Auseinandersetzung durch Redakteure oder können die nur Hardware?

 

[KaNoHLF]

Was genau hast Du da wie "durchgespielt"? Die Aussage zu "Distribution vectors" ist verharmlosend, was soll also dieser Post.

CPU-Z 2.19 Supply Chain Attack Analysis (April 2026) - Trojanized DLL Sideloading with Zig-compiled CRYPTBASE.dll, IPv6-encoded .NET deserialization, MSBuild persistence

CPU-Z 2.19 Supply Chain Attack Analysis (April 2026) - Trojanized DLL Sideloading with Zig-compiled CRYPTBASE.dll, IPv6-encoded .NET deserialization, MSBuild persistence - ANALYSIS.md

gist.github.com

Hast du hier mal vorbeigeschaut? Was soll also dein Kommentar/deine Reaktion?

PS: Wenn ich dir aufs Töpfchen helfen soll, gib' Bescheid.

 

[BobbyD]

Hast du hier mal vorbeigeschaut?

Mehr Links zu posten, lässt dich nicht besser aussehen. Du hast vermutlich irgendein KI-Müll hier gepostet, den Du selbst nicht verstanden hast. Wozu z.B. Hashes von Dateien, die in \Windows\System32 liegen, die waren doch nie betroffen. Behalten den KI-Müll einfach für dich, statt den öffentlich zu posten oder betitel das Ganze wenigstens korrekt, dann weiß man gleich, woran man ist: Noch ein KI-diot.

 

[KaNoHLF]

Mehr Links zu posten, lässt dich nicht besser aussehen. Du hast vermutlich irgendein KI-Müll hier gepostet, den Du selbst nicht verstanden hast. Wozu z.B. Hashes von Dateien, die in \Windows\System32 liegen, die waren doch nie betroffen. Behalten den KI-Müll einfach für dich, statt den öffentlich zu posten oder betitel das Ganze wenigstens korrekt, dann weiß man gleich, woran man ist: Noch ein KI-diot.

Mehr Müll zu kommentieren, lässt dich noch weniger gut aussehen, als bereits zuvor schon, und natürlich habe ich nichts von dem verstanden, was dort dokumentiert wurde.

Wenn man dann noch zu faul ist, oder zu schade für was auch immer - genau mein Humor.

BTW: Schon mal was von DLL Side-Loading/Hijacking in Kombination mit Elevated Privileges gehört?

Normalerweise helfe ich gerne. Aber bei so Vögeln wie dir, bin ich mittlerweile durch damit: Gurrr, Gurrr.

2.217.472 vs 1.256.960 vs 2.179.584 etc. pp. vs 35.352 & 32.600 bytes

#SamDemeulemeester

 

[Nitrobong]

Ich hab am 09. Mein HWinfo/Monitor upgedated. Der Defender hat nicht angeschlagen. Bin ich also sicher? Oder was sollte ich jetzt sicherheitshalber tun?

 

[KaNoHLF]

@Nitrobong Entscheidend ist, von welcher Seite bzw. wie du HWMonitor geupdated hast. Deswegen kann man deine Frage so pauschal nicht beantworten. Auch ist ja

Duration: ~6 hours between April 9-10, 2026

nur ein "grober Anhaltspunkt".

Was sagt denn virustotal.com zu den Dateien bzgl. HWMonitor_ auf deiner Seite/deinem PC?

Warnung: CPUID unter Virus-Verdacht, verdächtige HWMonitor-Downloads sorgen für Alarm | igor´sLAB

Manchmal sind es ausgerechnet die unscheinbaren Werkzeuge, bei denen man am wenigsten an eine Sicherheitsgeschichte denkt. Ein Hardware-Monitor soll Temperaturen lesen, Spannungen ausgeben und im…

www.igorslab.de

Parallel dazu kursieren seit heute Community-Meldungen, vor allem auf Reddit, wonach Nutzer beim Download eben nicht die erwartete Datei hwmonitor_1.63.exe erhalten haben, sondern einen Installer mit dem Namen HWiNFO_Monitor_Setup.exe. In diesen Berichten ist außerdem von Windows-Defender-Warnungen, einem russischsprachigen Installerdialog und einem unüblichen Inno-Setup-Wrapper die Rede.

 

[Nitrobong]

Ich habe das Programm nach einer längeren Zeit aufgemacht und es wollte ein Update durchführen. Hab dann auf Update runterladen ( o.ä. ) geklickt. Dann die Datei von der offiziellen Seite gezogen und installiert. Dabei war nichts auffälliges zu erkennen.
Ich check das später alles mal durch. Bin jetzt noch auf der Arbeit.

 

[KaNoHLF]

Über diesen Dialog...

...und dann von hier heruntergeladen: https://www.cpuid.com/softwares/hwmonitor.html#version-history | https://www.cpuid.com/downloads/hwmonitor/hwmonitor_1.63.zip bzw. .exe (April 03rd, 2026)

Wenn ja, dann einfach mal die heruntergeladene .exe und/oder .zip Datei gegen VirusTotal checken, und das Ergebnis posten.

 

[Nitrobong]

Kleiner Statusbericht : soweit alles im grünen Bereich. Hab die Datei hwmonitor_1.63.exe und sie ist sauber.

 

[KaNoHLF]

Freut mich, und danke für die Rückmeldung.

 

[PMaff]

"Auf VirusTotal sollten die Scanner inzwischen zu einem Großteil darauf anschlagen."

CPUID: Angreifer haben über Webseite Malware-Installer verteilt

Die Webseite CPUID der System-Analyse-Tools CPU-Z und HWMonitor wurde von Angreifern manipuliert. Sie verteilte Malware.

www.heise.de

"The malware package (cpu-z_2.19-en.zip) bundles legitimate CPU-Z executables alongside a malicious CRYPTBASE.dll that exploits the Windows DLL search order to achieve code execution via DLL sideloading (T1574.002)."

CPU-Z 2.19 Supply Chain Attack Analysis (April 2026) - Trojanized DLL Sideloading with Zig-compiled CRYPTBASE.dll, IPv6-encoded .NET deserialization, MSBuild persistence

CPU-Z 2.19 Supply Chain Attack Analysis (April 2026) - Trojanized DLL Sideloading with Zig-compiled CRYPTBASE.dll, IPv6-encoded .NET deserialization, MSBuild persistence - ANALYSIS.md

gist.github.com

Wenn das obige stimmt und die Täter ihre Vorgehensweise nicht geändert haben, dann sollte VirusTotal bei cpu-z_2.19-en.zip anzeigen. Hoffentlich nur bei 2.19.
Ich hab hier nur 2.17 und in der Hoffnung, dass das damals nicht auch schon war und obige Aussagen stimmen, zeigt Virus Total nichts an.

Unter Linux habe ich es relativ angenehm, dass ich mit einem z.B.:

find /winC/ -name "Clippy.sct" -ls

usw. relativ angenehm von Linux aus meine Windows Partitions nach Anzeichen absuchen kann.

find /winC/  \( -name "c_3791.proj" -o -name "data.dat" -o -name "BuildCache.dat" -o -name "Moniker.dll" \) -ls

wirft ein data.dat aus, aber das scheint ok.

Nicht vergessen:
"Wider Campaign: FileZilla, PerfMonitor, and CPUID Domain Compromise"

CPU-Z 2.19 Supply Chain Attack Analysis (April 2026) - Trojanized DLL Sideloading with Zig-compiled CRYPTBASE.dll, IPv6-encoded .NET deserialization, MSBuild persistence

CPU-Z 2.19 Supply Chain Attack Analysis (April 2026) - Trojanized DLL Sideloading with Zig-compiled CRYPTBASE.dll, IPv6-encoded .NET deserialization, MSBuild persistence - ANALYSIS.md

gist.github.com

 

[KaNoHLF]

Ggf. auch noch erwähnenswert: https://www.heise.de/forum/heise-on...-Winget-auch-betroffen/posting-46177394/show/

Stichwort: winget

 

[Induktor]

Also ich habe mich jetzt grob 2h damit auseinandergesetzt, weil ich genau ins Zeitfenster falle. Hab am 10.04. Windows auf ein System installiert und die cpu-z_2.19-rog-en.exe bei CPUID geladen.

Folgende Sachen habe ich jetzt gecheckt:

cpu-z_2.19-rog-en.exe bei VirusTotal hochgeladen = alles grün (No security vendors flagged this file as malicious) - Link

Kaspersky schreibt: On April 9, 2026, the website cpuid[.]com, hosting installers for popular system administration software CPU-Z, HWMonitor (HWMonitor Pro) and Perfmonitor 2, was compromised. We observed that starting from approximately April 9, 15:00 UTC, until about April 10, 10:00 UTC, the legitimate download URLs for installers of that software have been replaced with URLs to the following malicious websites:.....

Erstellungsdatum meiner cpu-z_2.19-rog-en.exe ist Freitag, ‎10. ‎April ‎2026, ‏‎14:57:21. Sollte nach Umrechnung in MESZ außerhalb des Zeitfensters liegen (12:57 UTC).

Kaspersky schreibt: We observed the attackers deploy malicious distributions of various popular system administration software published on the cpuid[.]com website. Below is a list of this software:

• CPU-Z (version 2.19)
• HWMonitor Pro (version 1.57)
• HWMonitor (version 1.63)
• PerfMonitor (version 2.04)

Mit Glück fällt die cpu-z_2.19-rog-en.exe da raus.


Was noch geprüft wurde:

Signatur entspricht der originalen Version:



Hash-Werte sind auch identisch:

Hashwert "alter" 2.19 Version:
08ab4e441b7b3fb2282571cb4b15b948c9babe86

Hashwert "neuer" 2.19 Version:
08ab4e441b7b3fb2282571cb4b15b948c9babe86


Via CMD --> ipconfig /displaydns wurden keine Aufrufe zu supp0v3 gefunden (bereits ab sup gibt's nichts)


cryptbase.dll und msedge_elf.dll gibt es vom 10.04., was auch normal ist, wenn man Windows installiert und zig Updates durchjagt, allerdings sind die beiden genannten Dateien in den vorgesehenen Ordnern. Im %temp% ist weder das eine, noch das andere.


KI sagt, mit der digitalen Signatur (gerade vom 16. März) + Feedback von VirusTotal, kann man sich sicher sein, dass man nicht die Version mit der Schadsoftware erwischt hat. Weiß jetzt nicht, wo ich noch gucken kann, um sicherzugehen. Daher wollte ich mir hier nochmal ein Feedback einholen.