MalwareSchwachstellenCyberkriminalität

Supply-Chain-Angriff auf CPUID: Beliebte Hardware-Tools CPU-Z und HWMonitor mit Malware infiziert

Supply-Chain-Angriff auf CPUID: Beliebte Hardware-Tools CPU-Z und HWMonitor mit Malware infiziert
Zusammenfassung

Ein massiver Supply-Chain-Angriff hat die beliebten Hardware-Diagnose-Tools CPU-Z und HWMonitor kompromittiert. Cyberkriminelle verschafften sich Zugang zu einer API des CPUID-Projekts und manipulierten die Download-Links auf der offiziellen Webseite, um schädliche Ausführungsdateien bereitzustellen. Die beiden Utilities haben Millionen von Nutzern weltweit, die sich auf sie zur Überwachung der Hardwaregesundheit und für detaillierte Systemspezifikationen verlassen. Der Angriff erfolgte Anfang April für etwa sechs Stunden und führte dazu, dass Benutzer statt der legitimen Software eine trojanisierte Version erhielten, die sich als HWiNFO ausgab und fortgeschrittene Evasionsmethoden nutzte. Sicherheitsforscher berichten, dass es sich um ein komplexes, mehrstufiges Infostealer-Malware handelt, das im Speicher arbeitet und Antivirus- sowie EDR-Systeme umgehen kann. Für deutsche Nutzer und Unternehmen ist dies besonders relevant, da viele IT-Profis auf diese Tools angewiesen sind. Der Vorfall zeigt einmal mehr die wachsende Bedrohung durch Supply-Chain-Attacken, bei denen legitime Software als Verteilungskanal für Malware missbraucht wird. Nutzer sollten überprüfen, ob sie die schädlichen Versionen heruntergeladen haben, und ihre Systeme auf Infektionen scannen.

Der Supply-Chain-Angriff auf CPUID offenbart eine ausgefeilte Angriffsstrategie: Die Hacker kompromitierten eine sekundäre API-Funktion des Unternehmens und vergifteten damit die Download-Links für CPU-Z und HWMonitor. Laut Aussage von CPUID war die Kompromittierung auf etwa sechs Stunden zwischen dem 9. und 10. April 2024 begrenzt, in denen die Hauptwebsite zufällig malware-Verknüpfungen anzeigte. Die original signierten Dateien selbst wurden nicht kompromittiert.

Nutzer, die die Tools während dieses Zeitfensters herunterladten, erhielten stattdessen eine trojanisierte Version von HWiNFO, einem diagnostischen Tool eines anderen Entwicklers. Die malware-Datei mit dem Namen “HWiNFO_Monitor_Setup” enthielt einen russischen Installer mit Inno-Setup-Wrapper – ein starkes Indiz für böse Absichten.

Die Sicherheitsforschung zeigt dabei beeindruckende technische Sophistication: Das Malware-Paket nutzt fortgeschrittene Techniken zur Erkennung-Umgehung, operiert teilweise vollständig im Speicher und vermeidet herkömmliche Sicherheitsmechanismen. Der vxunderground-Forscher beschreibt die Malware als „nicht alltäglich” – sie führt Datei-Maskerading durch, funktioniert mehrstufig und proxiert NTDLL-Funktionalität über eine .NET-Assembly, um Endpoint-Detection-and-Response-Systeme (EDR) und Antivirensoftware zu umgehen.

Auf VirusTotal wird das infizierte ZIP-Archiv von 20 Antivirus-Engines erkannt, teilweise als Tedy Trojan oder Artemis Trojan klassifiziert. Einige Sicherheitsforscher identifizieren die gefälschte HWiNFO-Variante als Info-Stealer-Malware.

Besonders bemerkenswert: Dieselbe Bedrohungsgruppe soll auch FileZilla-Nutzer im Vormonat angegriffen haben. Dies deutet auf eine Strategie hin, weit verbreitete Utilities ins Visier zu nehmen und damit Millionen potenzieller Opfer zu erreichen.

CPUID hat das Problem inzwischen behoben und verteilt wieder saubere Versionen beider Tools. Nutzer sollten überprüfen, wann sie ihre Versionen heruntergeladen haben, und im Zweifelsfall eine Neuinstallation durchführen. Der Incident unterstreicht die wachsende Risiken in der globalen Software-Lieferkette und die Notwendigkeit verstärkter Überwachung auch bei etablierten Anbietern.

Ähnliche Artikel