Aggiornamenti recenti Aprile 10th, 2026 3:23 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- CPUID compromesso: malware nei download ufficiali di CPU-Z e HWMonitor
- Claude Mythos: secretato perché troppo bravo a scovare vulnerabilità
- APT28 colpisce i router per dirottare il DNS e rubare credenziali
- Strategia cybersecurity USA verso un modello più assertivo e industriale
- Proxy residenziali: quando la reputazione degli IP smette di funzionare
CPUID compromesso: malware nei download ufficiali di CPU-Z e HWMonitor
Un attacco alla catena di distribuzione ha colpito il progetto CPUID, trasformando per alcune ore il sito ufficiale in un vettore di diffusione malware attraverso il download di CPU-Z e HWMonitor, due delle utility di monitoraggio hardware più utilizzate al mondo. Gli aggressori hanno compromesso una API secondaria del progetto, modificando i link di download e indirizzando gli utenti verso eseguibili trojanizzati ospitati su storage esterni. Il risultato è un classico supply chain attack, in cui i file originali firmati non vengono alterati ma la distribuzione viene avvelenata, inducendo gli utenti a scaricare versioni malevole apparentemente legittime.
Download avvelenati: eseguibile sospetto al posto delle utility ufficiali
Le prime segnalazioni sono arrivate da utenti che hanno notato come il portale ufficiale reindirizzasse a Cloudflare R2 per scaricare i file. Invece delle utility originali, veniva distribuito un archivio contenente un installer malevolo chiamato “HWiNFO_Monitor_Setup”, mascherato come strumento di monitoraggio hardware. L’esecuzione del file avviava un installer in lingua russa con wrapper Inno Setup, comportamento atipico per software legittimi e immediatamente sospetto. Alcuni utenti hanno inoltre verificato che i file originali erano ancora disponibili tramite URL diretti, confermando che il compromesso riguardava la catena di distribuzione e non i binari firmati.
Le analisi condotte da ricercatori indipendenti e community specializzate indicano che il payload utilizzava un loader avanzato multi-stage, con tecniche progettate per operare quasi interamente in memoria ed eludere soluzioni EDR e antivirus. Secondo i ricercatori, il malware implementa tecniche di file masquerading, esecuzione in-memory e proxying delle funzionalità NTDLL da assembly .NET, una combinazione che lo rende più difficile da rilevare con strumenti tradizionali. Il comportamento osservato suggerisce un attacco mirato e non opportunistico, con un livello di sofisticazione superiore alla media.
Il campione distribuito è stato analizzato su VirusTotal, dove 20 motori antivirus lo segnalano come malevolo, anche se senza classificazione univoca. Alcuni vendor lo identificano come Tedy Trojan, altri come Artemis Trojan, mentre diversi ricercatori lo descrivono come infostealer progettato per sottrarre credenziali e dati sensibili.
L’attacco ha colpito strumenti con milioni di utenti, rendendo particolarmente rilevante l’impatto potenziale. CPU-Z e HWMonitor sono infatti utilizzati sia da utenti consumer sia in contesti professionali per diagnostica hardware, monitoraggio termico e analisi delle prestazioni. Secondo alcuni ricercatori, lo stesso gruppo avrebbe preso di mira anche FileZilla il mese precedente, suggerendo una campagna focalizzata su utility ampiamente diffuse e considerate affidabili. Questo approccio consente agli attaccanti di massimizzare la distribuzione sfruttando la fiducia degli utenti.
Compromissione durata circa sei ore
CPUID ha confermato che l’attacco ha coinvolto una API secondaria, compromessa per circa sei ore tra il 9 e il 10 aprile. Durante questo intervallo, il sito ha mostrato in modo casuale link malevoli, mentre i file firmati originali non sono stati alterati. L’azienda ha dichiarato che la vulnerabilità è stata individuata e corretta e che attualmente i download distribuiti dal sito sono nuovamente puliti. L’incidente sarebbe avvenuto in un momento in cui lo sviluppatore principale era assente, dettaglio che suggerisce una possibile pianificazione mirata dell’attacco.
Cosa devono fare gli utenti
Chi ha scaricato CPU-Z o HWMonitor tra il 9 e il 10 aprile dovrebbe verificare l’integrità dei file, controllare eventuali eseguibili sospetti e monitorare il sistema per comportamenti anomali. In particolare, la presenza del file HWiNFO_Monitor_Setup rappresenta un indicatore di compromissione.
L’incidente dimostra ancora una volta come anche i download ufficiali non siano immuni da attacchi, e come la verifica delle firme digitali e dei checksum resti una pratica essenziale, soprattutto per strumenti amministrativi e diagnostici.
Condividi l'articolo
- attacco FileZilla correlato, CPU-Z malware, CPUID hack, download avvelenati, HWiNFO_Monitor_Setup, HWMonitor trojan, infostealer utility, malware CPUID, malware loader evasivo, supply chain attack software
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Strategia cybersecurity USA verso un modello più assertivo... Nel mese scorso, il governo degli USA ha rilasciato un... -
Proxy residenziali: quando la reputazione degli IP smette... Secondo un’analisi pubblicata da GreyNoise, basata su... -
Vertex AI e il rischio dei “double agent” AI Un recente studio della Unit 42 di Palo Alto ha messo in... -
Vibecoding: l’AI accelera lo sviluppo ma moltiplica i... Il concetto di vibecoding – ovvero la generazione di... -
AWS Bedrock: otto vettori che trasformano l’AI in un... Man mano che il tempo passa, i ricercatori di sicurezza...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
CPUID compromesso: malware nei download ufficiali di CPU-Z... Un attacco alla catena di distribuzione ha colpito il... -
Claude Mythos: secretato perché troppo bravo a scovare... L’annuncio di Anthropic sembrerebbe una trovata di... -
APT28 colpisce i router per dirottare il DNS e rubare... Secondo un’analisi pubblicata dal National Cyber Security... -
Strategia cybersecurity USA verso un modello più assertivo... Nel mese scorso, il governo degli USA ha rilasciato un...
-
Proxy residenziali: quando la reputazione degli IP smette... Secondo un’analisi pubblicata da GreyNoise, basata su...
Ransomware: la serie
No posts found.