Incidente de cadeia de suprimentos afeta utilitários de hardware
O site oficial da CPUID, hospedador dos populares utilitários de monitoramento de hardware HWMonitor e CPU-Z, foi alvo de um incidente de segurança ativo que comprometeu a integridade dos arquivos de download. Usuários que acessaram o domínio cpuid.com desde o início de abril de 2026 receberam instaladores trojanizados capazes de implantar DLLs maliciosas, evadir detecções de antivírus através de execução em memória e estabelecer conexões com infraestrutura controlada por atacantes.
A descoberta do comprometimento surgiu principalmente através de relatos na comunidade técnica, com criadores de conteúdo e pesquisadores de segurança alertando para a alteração dos arquivos de instalação. O arquivo esperado, hwmonitor_1.63.exe, foi substituído por uma versão maliciosa nomeada HWiNFO_Monitor_Setup.exe, explorando a confiança dos usuários em nomes de marcas familiares.
Como o ataque funciona
O vetor de ataque explora uma assimetria técnica na infraestrutura de download da CPUID. O caminho de instalação do setup roteia por um subdomínio dedicado (download.cpuid.com), enquanto as versões ZIP são servidas diretamente de um domínio de armazenamento de objetos Cloudflare R2. Essa separação de infraestrutura pode representar um ponto de manipulação onde o caminho de download foi redirecionado ou substituído.
O payload malicioso utiliza a técnica de DLL hijacking, observada na criação do arquivo cryptbase.dll, para garantir execução persistente e furtiva. A ameaça multiestágio emprega truques de memória para contornar a varredura convencional de antivírus, tornando a detecção no nível do sistema de arquivos pouco confiável. Relatos indicam que o instalador Inno Setup exibe texto em russo e aciona alertas do Windows Defender, além de ser flagado por múltiplos scanners no VirusTotal.
Impacto e alcance
O impacto deste incidente é significativo devido à base instalada massiva das ferramentas CPU-Z e HWMonitor. Esses utilitários são amplamente utilizados por administradores de sistemas, entusiastas de hardware e profissionais de TI para diagnóstico e monitoramento de desempenho. A confiança depositada nesses softwares facilita a execução de código malicioso com privilégios elevados, permitindo que atacantes obtenham controle total sobre o sistema comprometido.
A distinção entre o projeto HWiNFO e a CPUID é crucial. O HWiNFO mantém uma página de download oficial separada com histórico de versões consistente e espelhos verificados, indicando que o projeto em si não foi comprometido, mas sim o ambiente de download da CPUID. A falha reside na infraestrutura de distribuição, não no código-fonte original das ferramentas legítimas.
Medidas de mitigação recomendadas
Equipes de segurança devem adotar as seguintes ações imediatas para proteger seus ambientes:
- Interromper downloads: Não baixar nada do cpuid.com até que a empresa emita um comunicado de liberação verificado.
- Varredura de sistemas: Escanear sistemas que realizaram downloads de HWMonitor ou CPU-Z após 3 de abril de 2026.
- Verificação de IOCs: Procurar por cryptbase.dll em diretórios de aplicação como indicador de comprometimento.
- Alternativas seguras: Migrar para o HWiNFO (hwinfo.com) como alternativa segura e ativamente mantida para monitoramento de hardware.
- Validação de integridade: Verificar hashes de arquivos contra fontes oficiais antes de executar qualquer instalador de utilitário de sistema.
O que os CISOs devem fazer agora
Este incidente serve como um lembrete agudo de que até as ferramentas de diagnóstico mais rotineiras podem se tornar vetores de entrega de ameaças quando a infraestrutura por trás delas é alvo. A governança de software deve incluir a verificação de integridade de ferramentas de terceiros, especialmente aquelas que exigem privilégios de administrador. Recomenda-se a implementação de políticas de controle de aplicação que restrinjam a execução de instaladores não assinados ou provenientes de fontes não verificadas.
Perguntas frequentes
Os arquivos originais do HWMonitor foram comprometidos? Não há evidências de que o código-fonte original tenha sido alterado, mas o ambiente de distribuição foi comprometido.
Qual é o mecanismo exato da invasão? Ainda não foi estabelecido publicamente se foi defacement de site, manipulação de redirecionamento ou DNS hijack, mas a suspeita recai sobre a manipulação do backend de download.
Devo desinstalar o HWMonitor? Se você baixou após 3 de abril, sim, e deve realizar uma varredura completa de segurança.