Werbung
Beim Softwareanbieter CPUID ist es zu einem Sicherheitsvorfall gekommen, bei dem Angreifer die Download-Infrastruktur kompromittiert haben. Betroffen waren unter anderem die weitverbreiteten Tools CPU-Z und HWMonitor, die üblicherweise zur Analyse von Systemkomponenten und zur Überwachung von Hardwarezuständen eingesetzt werden.
Nach aktuellen Erkenntnissen verschafften sich die Angreifer Zugriff auf eine API im Hintergrundsystem und manipulierten die Download-Links auf der offiziellen Website. Nutzer, die die Programme in diesem Zeitraum herunterluden, erhielten statt der regulären Installationsdateien manipulierte Archive. Diese enthielten zwar weiterhin signierte Originaldateien, wurden jedoch um eine schädliche DLL ergänzt, die über DLL-Sideloading ausgeführt werden konnte.
Die technische Umsetzung der Schadsoftware weist dabei mehrere komplexe Merkmale auf. Der Angriff erfolgte mehrstufig und nutzte Techniken zur Tarnung und Umgehung von Sicherheitslösungen. Teile der Schadlogik wurden direkt im Arbeitsspeicher ausgeführt, wodurch eine klassische Erkennung erschwert werden sollte. Zusätzlich kamen Mechanismen zum Einsatz, die Funktionen von Systembibliotheken nachbilden, um Sicherheitsprüfungen zu umgehen. Vor der eigentlichen Aktivierung führte die Schadsoftware zudem verschiedene Prüfungen durch, um Analyseumgebungen zu erkennen.
Im weiteren Verlauf stellte die schädliche DLL eine Verbindung zu einem Command-and-Control-Server her, über den zusätzliche Nutzlasten nachgeladen wurden. Dabei handelte es sich unter anderem um eine Variante des Remote-Access-Trojaners STX RAT, der Funktionen zum Ausspähen von Informationen umfasst. Einige Sicherheitslösungen identifizierten die Dateien als Varianten bekannter Trojaner, während andere sie als Infostealer einstuften.
Die Kompromittierung dauerte nach bisherigen Analysen mehrere Stunden zwischen dem 9. und 10. April 2026. In diesem Zeitraum wurden manipulierte Versionen mehrerer Programme verteilt, darunter auch Varianten von CPU-Z, HWMonitor und weiteren Tools aus dem Portfolio von CPUID. Sicherheitsforscher gehen davon aus, dass mindestens 150 Nutzer die infizierten Dateien heruntergeladen haben. Neben Privatpersonen sollen auch Organisationen aus verschiedenen Branchen betroffen sein.
CPUID hat die Sicherheitslücke inzwischen geschlossen und stellt wieder unveränderte Installationsdateien bereit. Die Untersuchungen zum Vorfall dauern allerdings noch an. Nutzern wird empfohlen, heruntergeladene Dateien aus dem betroffenen Zeitraum zu überprüfen und gegebenenfalls zu ersetzen.
