Auf die manipulierte Verteilungskette wiesen neben Reddit-Nutzern auch Igor’s Labs und der Account @vxunderground hin. Demnach kommt ein vergleichsweise fortgeschrittener Loader zum Einsatz, der bekannte Techniken, Taktiken und Vorgehensweisen (TTPs) nutzt.

„Als ich anfing, genauer hinzusehen, stellte ich fest, dass es sich nicht um gewöhnliche Schadsoftware handelt", erklärte vxunderground. Die Malware sei tief trojanisiert, werde über eine kompromittierte Domain (cpuid-dot-com) verteilt, tarne Dateien, arbeite mehrstufig und nahezu vollständig im Arbeitsspeicher. Zur Umgehung von EDR- und Antivirenlösungen nutze sie unter anderem das Weiterleiten von NTDLL-Funktionalität aus einem .NET-Assembly.

Nach Angaben des Forschers hat dieselbe Gruppe in diesem Monat bereits Nutzer der FTP-Software FileZilla ins Visier genommen, was darauf hindeutet, dass es die Angreifer gezielt auf weit verbreitete Werkzeuge abgesehen haben.

Das heruntergeladene ZIP-Archiv wird auf VirusTotal von 20 Antiviren-Engines beanstandet, allerdings ohne eindeutige Zuordnung: Einige stufen es als Tedy Trojan ein, andere als Artemis Trojan. Mehrere Forscher auf VirusTotal beschreiben die gefälschte HWiNFO-Variante als Infostealer-Malware.

CPUID äußerte sich auf Anfrage von BleepingComputer wie folgt: „Die Untersuchungen laufen noch, doch es scheint, dass eine sekundäre Funktion (im Grunde eine Neben-API) für etwa sechs Stunden zwischen dem 9. und 10. April kompromittiert war, wodurch die Hauptwebsite zufällig schädliche Links anzeigte (unsere signierten Originaldateien wurden nicht kompromittiert). Der Einbruch wurde entdeckt und ist inzwischen behoben."

Dieselbe Person teilte mit, dass die Angreifer zugeschlagen hätten, während sich der Hauptentwickler im Urlaub befand. Derzeit liefert CPUID nach eigenen Angaben wieder saubere Versionen von CPU-Z und HWMonitor aus.