CPUIDのCPU-Z・HWMonitorダウンロードリンク、悪意あるリンクへ置き換えられる

CPUIDのCPU-Z・HWMonitorダウンロードリンク、悪意あるリンクへ置き換えられる

BleepingComputer – April 10, 2026

CPUIDプロジェクトのAPIへハッカーが不正にアクセスし、人気ツールCPU-Z、HWMonitor、Perfmonitor 2のダウンロードリンクを悪意ある実行ファイルのリンクへ置き換えていたという。この攻撃は、3月にFileZilla FTPソリューションのユーザーを標的にしたのと同じ脅威グループによるものだと考えられており、この攻撃者が広範に使用されているユーティリティを重点的に狙っていることが示唆されている。

CPUIDの広報担当者は、調査はまだ続いているとした上で、「二次的機能（サイドAPI）」が4月9日〜10日（現地時間）のおよそ6時間にかけて侵害され、メインのWebサイトに影響を与えたものとみられる」とコメント。これにより同サイトで悪性リンクがランダムに表示されるようになったものの、ツールのファイル自体は侵害されておらず、すでに問題は修正済みであると伝えている。同広報担当者はまた、この侵害がメイン開発者が休暇を取得中に行われたことも明かした。

本件について調査したカスペルスキーによると、4月10日00:00頃（日本時間）から同日19:00頃にかけて、上記ソフトウェアのインストーラー用ダウンロードURLが、以下の悪性WebサイトのURLへと置き換えられていたとされる。

• cahayailmukreatif.web[.]id
• pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
• transitopalermo[.]com
• vatrobran[.]hr

Redditに書き込まれたユーザーの報告によれば、CPU-ZやHWMonitorの公式ダウンロードサイトはCloudflare R2ストレージサービスへ繋がり、そこから別の診断・モニタリングツールである「HWiNFO」のトロイの木馬化されたバージョンが取得される状態になっていたという。当該悪性ファイル「HWiNFO_Monitor_Setup」を起動することにより、ロシア語のインストーラーが実行されるようになっていた。

カスペルスキーによると、トロイの木馬版ソフトウェアには「CRYPTBASE.dll」という悪性DLLが含まれており、攻撃者はDLLサイドローディングにこれを用いるという。同社は、このDLLがサンドボックスチェックを実行し、チェックをクリアした場合はC2接続およびさらなるペイロード実行の役割をこなすと伝えている。最終的なペイロードは、インフォスティーラー性能を持つマルウェア「STX RAT」だとされる。

カスペルスキーの分析によれば、悪意あるバージョンのCPUID製品をダウンロードしてしまったユーザーの数は150超。その多くは個人ユーザーではあるものの、小売・製造・コンサルティング・電気通信・農業部門の組織もいくつか含まれるという。また被害者の大半がブラジル、ロシア、中国のユーザーであることもわかっている。

カスペルスキーのブログ記事では、関連するIoCが提供されている。