Subtotal $0.00
Email : 150
Por cerca de seis horas na quinta-feira, 9 de abril de 2026, quem entrou no site oficial da CPUID e baixou o CPU-Z ou o HWMonitor não recebeu o software legítimo. Recebeu malware. E não um malware qualquer — um loader sofisticado, operando quase inteiramente em memória, projetado para roubar senhas salvas no Chrome.
Isso é um ataque de supply chain clássico, executado com precisão cirúrgica. E o detalhe que torna tudo mais assustador: os arquivos originais da CPUID não foram modificados. Os atacantes comprometeram uma API secundária do site e simplesmente trocaram os links de download. Você clicava no botão oficial, mas baixava algo completamente diferente.
Como o Ataque Funcionou
A CPUID confirmou que uma API secundária — não a infraestrutura principal do site — foi comprometida. Os atacantes usaram esse acesso para alterar os links de download exibidos em cpuid.com. Durante a janela de seis horas, qualquer usuário que clicasse em “Download CPU-Z” ou “Download HWMonitor” recebia um executável malicioso hospedado num domínio controlado pelos atacantes.
O arquivo distribuído tinha um nome propositalmente confuso: HWiNFO_Monitor_Setup.exe — uma mistura dos nomes HWMonitor e HWiNFO, duas ferramentas legítimas e conhecidas. Se você não prestou atenção no nome exato do arquivo baixado, a chance de perceber algo errado era mínima.
Além do CPU-Z e HWMonitor, os produtos afetados incluíram:
- HWMonitor Pro
- PerfMonitor 2
- powerMAX
O Malware por Dentro
Os pesquisadores do vx-underground publicaram uma análise técnica detalhada do payload. O que encontraram é sofisticado o suficiente para preocupar até quem já viu bastante malware:
| Técnica | Descrição | Objetivo |
|---|---|---|
| DLL Sideloading | CRYPTBASE.dll compilado em Zig substitui a DLL legítima | Execução furtiva no processo |
| In-memory execution | Payload opera quase totalmente em RAM | Evasão de análise forense |
| IPv6-encoded .NET deserialization | Endereços IPv6 carregam código .NET serializado | Evasão de assinaturas de AV |
| MSBuild persistence | Usa MSBuild legítimo do Windows para persistência | Sobreviver a reinicializações |
| NTDLL proxying | Funcionalidades do NTDLL proxied por assembly .NET | Bypassar EDR |
O objetivo final: roubar credenciais salvas no Chrome. O malware tentava acessar a IElevation COM interface do Chrome para descriptografar e extrair senhas armazenadas pelo navegador.
“The signed original files were not compromised — only the delivery mechanism was hijacked.” — CPUID, comunicado oficial
Como Foi Descoberto
O Windows Defender foi o primeiro a sinalizar o problema — o instalador malicioso exibia prompts em russo durante a execução, o que disparou alertas. Usuários começaram a reportar o comportamento estranho em fóruns e redes sociais, e os pesquisadores do vx-underground confirmaram e analisaram o comprometimento em poucas horas.
Não é coincidência que o mesmo grupo de ameaça havia atacado usuários do FileZilla em março de 2026, usando táticas similares. É uma campanha coordenada contra utilitários populares — software amplamente usado, frequentemente baixado, e cujos usuários tendem a confiar cegamente no site oficial.
Você Foi Afetado? O Que Fazer
Se você baixou CPU-Z, HWMonitor, HWMonitor Pro, PerfMonitor 2 ou powerMAX entre aproximadamente 13h e 19h (horário de Brasília) do dia 9 de abril de 2026, tome estas medidas:
- Verifique o nome do arquivo baixado: se for
HWiNFO_Monitor_Setup.exeou algo que não bate com o produto que você queria, não execute. - Rode uma varredura completa com seu antivírus atualizado — o Windows Defender já detecta as variantes conhecidas.
- Troque suas senhas do Chrome: todas as senhas salvas no navegador devem ser consideradas comprometidas se o malware executou na sua máquina.
- Ative autenticação de dois fatores em todas as contas importantes — especialmente e-mail, bancos e qualquer serviço que use as credenciais que estavam salvas no Chrome.
- Monitore atividade suspeita nas suas contas nos próximos dias.
A CPUID confirmou que o problema foi corrigido e que os arquivos no site são legítimos agora. Se precisar baixar qualquer produto da CPUID, o site está seguro — mas vale verificar o hash do arquivo contra os valores publicados oficialmente.
O Problema Maior: Confiar no “Site Oficial”
Esse ataque é particularmente desconfortável porque ele subverte exatamente o comportamento que os especialistas em segurança sempre recomendam: baixe sempre do site oficial. Nesse caso, o site oficial era o vetor do ataque.
Ataques de supply chain estão crescendo em sofisticação e frequência. O que torna esse caso diferente de um simples trojan é a camada de confiança que foi explorada — não um software pirata, não um link suspeito no e-mail. O botão de download no site oficial da ferramenta que você usa há anos.
Algumas práticas que reduzem (mas não eliminam) o risco:
- Verifique hashes SHA256 dos arquivos baixados quando o fornecedor os publica
- Use gerenciadores de pacotes com verificação de integridade (winget, chocolatey, scoop) em vez de baixar instaladores manualmente
- Não salve senhas no navegador — use um gerenciador de senhas dedicado (Bitwarden, 1Password) com cofre criptografado
- Monitore alertas de segurança dos softwares que você usa regularmente
A questão não é parar de usar o CPU-Z ou o HWMonitor — são ferramentas legítimas e úteis. É entender que nenhum download está acima de suspeita, mesmo vindo da fonte que você sempre usou. A supply chain é tão forte quanto seu elo mais fraco, e às vezes esse elo é uma API que ninguém monitorava direito.
Fontes: BleepingComputer, Tom’s Hardware, vx-underground (análise técnica)
