CPUID: с 9 на 10 апреля злоумышленники получили контроль над дополнительным API на официальном сайте CPU-Z и HWMonitor

В компании CPUID предупредили, что с 9 на 10 апреля 2026 года злоумышленники получили контроль над дополнительным API на официальном сайте разработчика популярных утилит CPU‑Z и HWMonitor для Windows. В результате инцидента в течение примерно шести часов часть пользователей вместо легитимных установщиков инструментов получала ссылки на заражённые файлы, которые антивирусы идентифицировали как троянов для кражи данных.

Пользователи, которые попытались обновить HWMonitor до версии 1.63, вместо обычного файла с сайта официального сайта CPUID скачивали установщик с названием HWiNFO_Monitor_Setup.exe. Встроенный защитник Windows сразу помечал этот компонент как вредоносный, а на VirusTotal файл распознался как троян. В CPUID объяснили, что в ходе инцидента была скомпрометирована не основная инфраструктура компании, а «второстепенная функция — по сути, сторонний API» из-за этого на сайте cpuid.com случайным образом вместо нормальных ссылок на скачивание отображались ссылки вредоносные ресурсы.

В компании CPUID обнаружили уязвимость и в течение шести часов закрыли доступ к неправильным ссылкам, но точное число пользователей, которые успели скачать заражённые установщики, пока неизвестно.

Аналитики из ИБ-компании vx-underground пояснили, что вредоносная нагрузка была специально подготовлена заранее, а её автор уделил внимание обходу защиты. Например, зловред после скачивания и запуска работал почти исключительно в памяти. Также проект при анализе пытается обнаружить эмуляцию и затруднить обратную разработку, а для загрузки следующих стадий используется PowerShell.

По мнению профильных экспертов, основная цель такой атака — кража учётных данных из браузеров: сохранённых паролей, файлов cookie и, вероятно, данных криптокошельков, а