CPUID gehackt: Schadcode in CPU-Z- und HWMonitor

HWL News Bot

HWL News Bot

News
Thread Starter
Mitglied seit
06.03.2017
Beiträge
118.050
Beim Softwareanbieter CPUID ist es zu einem Sicherheitsvorfall gekommen, bei dem Angreifer die Download-Infrastruktur kompromittiert haben. Betroffen waren unter anderem die weitverbreiteten Tools CPU-Z und HWMonitor, die üblicherweise zur Analyse von Systemkomponenten und zur Überwachung von Hardwarezuständen eingesetzt werden.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Nicht so gut. War auch das Programm auf der offiziellen Homepage betroffen?
 
Guckst du: https://gist.github.com/N3mes1s/b5b0b96782b9f832819d2db7c6684f84

Aber ja. Irgendwie scheint mir das so, die Supply Chain Attacks nehmen son bisserl an fahrt auf, oder ?!?

Edit: Habe es für mich mal durchgespielt:
Code: 
This is NOT a compromise of CPUID's build infrastructure. The bundled executables are genuinely signed by CPUID and Microsoft:

Binary     Signer     Certificate     Signed Date     VT Detection
cpuz_x32.exe     CPUID + Microsoft Windows HCP     Sectigo EV Code Signing     2026-03-16 10:44 AM     0/77 (clean)
cpuz_x64.exe     CPUID + Microsoft Windows HCP     Sectigo EV Code Signing     2026-03-16 10:45 AM     0/77 (clean)

The attack is a software repackaging attack: the threat actor downloads official CPUID releases, adds a malicious CRYPTBASE.dll, and repackages as ZIP for distribution.
Distribution vectors likely include:
    Malvertising via Google Ads (consistent with the 2023 CPU-Z malvertising campaign)
    SEO poisoning with fake download sites
    Fake software portals (file names like cpu-z_2.19-en.zip, cpu-z.zip, cpu-z_2.19.zip suggest multiple distribution channels)

SHA2-256(D:\Install\PC Diagnostic\CPU-Z\2.19\cpuz.ini)= b7b3560e286ba5f39c019e99face5cfa68cca42cf29bbe2e0f0d1e9626de5c8f

SHA2-256(D:\Install\PC Diagnostic\CPU-Z\2.19\cpuz_readme.txt)= 7eb3223b9759e6553fdb23f93b384f451af342982a21343735d4349827e5d1a5

SHA2-256(D:\Install\PC Diagnostic\CPU-Z\2.19\cpuz_x32.exe)= d4b7556f00a6d5ea5a47a5aefe267681334167db8c83ba94806da3dfd9fdca79

SHA2-256(D:\Install\PC Diagnostic\CPU-Z\2.19\cpuz_x64.exe)= 8e0077a742183fbcbb4f6cf2fe945ea2ced13a058ccf79f5b81157ededc47e16

SHA2-256(C:\Windows\System32\cryptbase.dll)= f2904441a36aa3bb535e42a6ab2dcd004fd84564a0e5a85cc42c8a54af6176d3

SHA2-256(C:\Windows\SysWOW64\cryptbase.dll)= 2ef73abbd2baed205993f6550c40cac88f76d643dc2d498f28da1386c360c9e8
 
Zuletzt bearbeitet:
Schade das wirklich alles relevante in der News fehlt. Wie können User etwas prüfen? Um welche dlls wurden die Pakete erweitert? Bleibt die dll bestehen nach nachladen des RAT?
 
KaNoHLF schrieb:
Habe es für mich mal durchgespielt:
Zum Vergrößern anklicken....
Was genau hast Du da wie "durchgespielt"? Die Aussage zu "Distribution vectors" ist verharmlosend, was soll also dieser Post.

Nutzern wird empfohlen, heruntergeladene Dateien aus dem betroffenen Zeitraum zu überprüfen und gegebenenfalls zu ersetzen.
Zum Vergrößern anklicken....
Wie jetzt, wenn ich den betroffenen Installer noch da hab, soll ich diesen einfach gegen was neues ersetzen... Wie wäre es denn mal mit einer ernsthaften Auseinandersetzung durch Redakteure oder können die nur Hardware?
 
Zuletzt bearbeitet:
BobbyD schrieb:
Was genau hast Du da wie "durchgespielt"? Die Aussage zu "Distribution vectors" ist verharmlosend, was soll also dieser Post.
Zum Vergrößern anklicken....

gist.github.com

CPU-Z 2.19 Supply Chain Attack Analysis (April 2026) - Trojanized DLL Sideloading with Zig-compiled CRYPTBASE.dll, IPv6-encoded .NET deserialization, MSBuild persistence

CPU-Z 2.19 Supply Chain Attack Analysis (April 2026) - Trojanized DLL Sideloading with Zig-compiled CRYPTBASE.dll, IPv6-encoded .NET deserialization, MSBuild persistence - ANALYSIS.md
gist.github.com gist.github.com

Hast du hier mal vorbeigeschaut? Was soll also dein Kommentar/deine Reaktion?

PS: Wenn ich dir aufs Töpfchen helfen soll, gib' Bescheid.
 
KaNoHLF schrieb:
Hast du hier mal vorbeigeschaut?
Zum Vergrößern anklicken....
Mehr Links zu posten, lässt dich nicht besser aussehen. Du hast vermutlich irgendein KI-Müll hier gepostet, den Du selbst nicht verstanden hast. Wozu z.B. Hashes von Dateien, die in \Windows\System32 liegen, die waren doch nie betroffen. Behalten den KI-Müll einfach für dich, statt den öffentlich zu posten oder betitel das Ganze wenigstens korrekt, dann weiß man gleich, woran man ist: Noch ein KI-diot.
 
BobbyD schrieb:
Mehr Links zu posten, lässt dich nicht besser aussehen. Du hast vermutlich irgendein KI-Müll hier gepostet, den Du selbst nicht verstanden hast. Wozu z.B. Hashes von Dateien, die in \Windows\System32 liegen, die waren doch nie betroffen. Behalten den KI-Müll einfach für dich, statt den öffentlich zu posten oder betitel das Ganze wenigstens korrekt, dann weiß man gleich, woran man ist: Noch ein KI-diot.
Zum Vergrößern anklicken....
Mehr Müll zu kommentieren, lässt dich noch weniger gut aussehen, als bereits zuvor schon, und natürlich habe ich nichts von dem verstanden, was dort dokumentiert wurde.

Wenn man dann noch zu faul ist, oder zu schade für was auch immer - genau mein Humor.

BTW: Schon mal was von DLL Side-Loading/Hijacking in Kombination mit Elevated Privileges gehört?

Normalerweise helfe ich gerne. Aber bei so Vögeln wie dir, bin ich mittlerweile durch damit: Gurrr, Gurrr.

2.217.472 vs 1.256.960 vs 2.179.584 etc. pp. vs 35.352 & 32.600 bytes

#SamDemeulemeester
 
Zuletzt bearbeitet:
Ich hab am 09. Mein HWinfo/Monitor upgedated. Der Defender hat nicht angeschlagen. Bin ich also sicher? Oder was sollte ich jetzt sicherheitshalber tun?
 
@Nitrobong Entscheidend ist, von welcher Seite bzw. wie du HWMonitor geupdated hast. Deswegen kann man deine Frage so pauschal nicht beantworten. Auch ist ja
Duration: ~6 hours between April 9-10, 2026
Zum Vergrößern anklicken....
nur ein "grober Anhaltspunkt".

Was sagt denn virustotal.com zu den Dateien bzgl. HWMonitor_ auf deiner Seite/deinem PC?

www.igorslab.de

Warnung: CPUID unter Virus-Verdacht, verdächtige HWMonitor-Downloads sorgen für Alarm | igor´sLAB

Manchmal sind es ausgerechnet die unscheinbaren Werkzeuge, bei denen man am wenigsten an eine Sicherheitsgeschichte denkt. Ein Hardware-Monitor soll Temperaturen lesen, Spannungen ausgeben und im…
www.igorslab.de www.igorslab.de
Parallel dazu kursieren seit heute Community-Meldungen, vor allem auf Reddit, wonach Nutzer beim Download eben nicht die erwartete Datei hwmonitor_1.63.exe erhalten haben, sondern einen Installer mit dem Namen HWiNFO_Monitor_Setup.exe. In diesen Berichten ist außerdem von Windows-Defender-Warnungen, einem russischsprachigen Installerdialog und einem unüblichen Inno-Setup-Wrapper die Rede.
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Ich habe das Programm nach einer längeren Zeit aufgemacht und es wollte ein Update durchführen. Hab dann auf Update runterladen ( o.ä. ) geklickt. Dann die Datei von der offiziellen Seite gezogen und installiert. Dabei war nichts auffälliges zu erkennen.
Ich check das später alles mal durch. Bin jetzt noch auf der Arbeit.
 
Über diesen Dialog...
HWMonitor Update Checker.png
...und dann von hier heruntergeladen: https://www.cpuid.com/softwares/hwmonitor.html#version-history | https://www.cpuid.com/downloads/hwmonitor/hwmonitor_1.63.zip bzw. .exe (April 03rd, 2026)

Wenn ja, dann einfach mal die heruntergeladene .exe und/oder .zip Datei gegen VirusTotal checken, und das Ergebnis posten.
 
Kleiner Statusbericht : soweit alles im grünen Bereich. Hab die Datei hwmonitor_1.63.exe und sie ist sauber.
 
"Auf VirusTotal sollten die Scanner inzwischen zu einem Großteil darauf anschlagen."
www.heise.de

CPUID: Angreifer haben über Webseite Malware-Installer verteilt

Die Webseite CPUID der System-Analyse-Tools CPU-Z und HWMonitor wurde von Angreifern manipuliert. Sie verteilte Malware.
www.heise.de www.heise.de

"The malware package (cpu-z_2.19-en.zip) bundles legitimate CPU-Z executables alongside a malicious CRYPTBASE.dll that exploits the Windows DLL search order to achieve code execution via DLL sideloading (T1574.002)."
gist.github.com

CPU-Z 2.19 Supply Chain Attack Analysis (April 2026) - Trojanized DLL Sideloading with Zig-compiled CRYPTBASE.dll, IPv6-encoded .NET deserialization, MSBuild persistence

CPU-Z 2.19 Supply Chain Attack Analysis (April 2026) - Trojanized DLL Sideloading with Zig-compiled CRYPTBASE.dll, IPv6-encoded .NET deserialization, MSBuild persistence - ANALYSIS.md
gist.github.com gist.github.com

Wenn das obige stimmt und die Täter ihre Vorgehensweise nicht geändert haben, dann sollte VirusTotal bei cpu-z_2.19-en.zip anzeigen. Hoffentlich nur bei 2.19.
Ich hab hier nur 2.17 und in der Hoffnung, dass das damals nicht auch schon war und obige Aussagen stimmen, zeigt Virus Total nichts an.

Unter Linux habe ich es relativ angenehm, dass ich mit einem z.B.:
Code: 
find /winC/ -name "Clippy.sct" -ls
usw. relativ angenehm von Linux aus meine Windows Partitions nach Anzeichen absuchen kann.

Code: 
find /winC/  \( -name "c_3791.proj" -o -name "data.dat" -o -name "BuildCache.dat" -o -name "Moniker.dll" \) -ls
wirft ein data.dat aus, aber das scheint ok.

Nicht vergessen:
"Wider Campaign: FileZilla, PerfMonitor, and CPUID Domain Compromise"
gist.github.com

CPU-Z 2.19 Supply Chain Attack Analysis (April 2026) - Trojanized DLL Sideloading with Zig-compiled CRYPTBASE.dll, IPv6-encoded .NET deserialization, MSBuild persistence

CPU-Z 2.19 Supply Chain Attack Analysis (April 2026) - Trojanized DLL Sideloading with Zig-compiled CRYPTBASE.dll, IPv6-encoded .NET deserialization, MSBuild persistence - ANALYSIS.md
gist.github.com gist.github.com
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh