Kaspersky ha analizzato l’attacco malware contro il sito di CPU-Z e HWMonitor, compromesso per 19 ore e durante il quale i download del software sono stati sostituiti con programmi di installazione infetti. L’attacco, avvenuto il 9 aprile, ha coinvolto strumenti utilizzati da milioni di utenti di PC in tutto il mondo per monitorare le prestazioni hardware. Kaspersky Global Research Analysis Team (GReAT) ha identificato oltre 150 vittime in diversi Paesi e collegato l’infrastruttura del malware a una campagna precedente.
Sospesi i download dopo il cyberattacco
CPU-Z e HWMonitor sono tra gli strumenti di diagnostica per PC più scaricati. Vengono utilizzati regolarmente da appassionati di hardware, amministratori IT e assemblatori di sistemi per verificare la velocità dei processori, le temperature e il consumo energetico. La loro popolarità rende particolarmente elevato il rischio di compromissione. Chiunque abbia scaricato il software dal sito cpuid.com tra le 15:00 UTC circa del 9 aprile e le 10:00 UTC del 10 aprile potrebbe aver installato una backdoor al posto del programma legittimo. CPUID ha confermato la violazione e ha sospeso i download dopo la scoperta dell’attacco.
Quattro i prodotti presi di mira dal malware
L’analisi successiva ha rilevato che la finestra di vulnerabilità è durata circa 19 ore, ovvero circa 3 volte più a lungo rispetto alle 6 ore inizialmente indicate da CPUID. Sono stati interessati CPU-Z 2.19, HWMonitor 1.63, HWMonitor Pro 1.57 e PerfMonitor 2.04, prodotti distribuiti sia come programmi di installazione autonomi che come archivi ZIP. Le precedenti segnalazioni pubbliche avevano individuato come coinvolti solo CPU-Z e HWMonitor.
Cosa conteneva il pacchetto infetto distribuito
Durante l’attacco, i link per il download presenti su cpuid.com sono stati sostituiti con URL che rimandavano a 4 siti web controllati dagli autori dell’attacco. Ciascuno dei pacchetti infettati da trojan includeva un eseguibile CPUID legittimo e firmato insieme a una DLL dannosa che, una volta eseguita, si connetteva a un server remoto e installava STX RAT, una backdoor completa in grado di sottrarre dati e fornire accesso remoto persistente. Kaspersky GReAT ha inoltre confermato che gli autori dell’attacco hanno distribuito la backdoor senza modifiche, rendendo così le regole YARA pubbliche esistenti in grado di rilevarla direttamente.
L’analisi di Kaspersky GReAT
I ricercatori avevano già notato somiglianze tra l’infrastruttura utilizzata per questo attacco e una campagna di marzo 2026 basata su falsi programmi di installazione di FileZilla. L’analisi di Kaspersky GReAT conferma tale collegamento. Infatti l’indirizzo del server di comando e controllo e il formato di configurazione incorporato risultano identici a quelli utilizzati nella precedente operazione documentata da Malwarebytes.
Georgy Kucherin, Senior Security Researcher di Kaspersky GReAT Gli attacchi alla supply chain e gli attacchi ‘watering hole’, in cui gli aggressori compromettono una fonte attendibile anziché prendere di mira le vittime, sono tra i più difficili da contrastare. Questo perché gli utenti non hanno motivo di diffidare del software scaricato da un sito ufficiale. In questo caso, tuttavia, l’esecuzione dell’attacco ha ridotto l’impatto del suo stesso accesso. Infatti il riutilizzo di un’infrastruttura già documentata e di una backdoor nota e non modificata ha permesso a soluzioni di sicurezza aggiornate come Kaspersky Next di rilevare e bloccare il payload durante l’intero periodo di compromissione.
Brasile, Russia e Cina i Paesi più colpiti dal malware
Kaspersky GReAT ha individuato oltre 150 vittime grazie ai propri dati di telemetria. La maggior parte sono utenti privati, in linea con la natura consumer del software CPUID. Le organizzazioni colpite operano nei settori vendita al dettaglio, dlla produzione, consulenza, delle telecomunicazioni e agricoltura. Brasile, Russia e Cina registrano il maggior numero di infezioni confermate. Uno studio , svolto da Kaspersky nel marzo 2026, ha rilevato che gli attacchi alla supply chain sono stati la minaccia informatica più comune affrontata dalle aziende nei 12 mesi precedenti. Tuttavia, solo il 9% delle organizzazioni li ha classificati come una delle principali preoccupazioni.
I consigli per proteggersi
Kaspersky consiglia a chiunque abbia scaricato software dal sito cpuid.com tra il 9 e il 10 aprile 2026 di seguire queste istruzioni:
controllare i registri di rete e DNS per verificare la presenza di connessioni ai quattro domini di distribuzione dannosi individuati nel rapporto tecnico.
Cercare nei file system eventuali istanze non firmate del file CRYPTBASE.dll presenti insieme ai file dell’applicazione CPUID.
Eseguire una scansione completa del sistema utilizzando un software di sicurezza aggiornato.
