News CPU-Z und HWMonitor: Entwickler bestätigt Angriff auf Website

[MichaG]

Die offizielle Webseite von CPUID wurde manipuliert, um mit Malware verseuchte Software statt der Tools CPU-Z und HWMonitor zu verteilen. Das hat der Entwickler nach Berichten inzwischen bestätigt. Wer zwischen dem 9. und 10. April dort Software heruntergeladen hat, muss aufpassen. Jetzt sei das Sicherheitsleck geschlossen.

Zur News: CPU-Z und HWMonitor: Entwickler bestätigt Angriff auf Website

 

[Wolfgang.R-357:]

Schön das ihr im letzten Absatz darauf eingegangen seid, denn ich lade mir vieles bei euch herunter.
Ich bin jetzt beruhigt, danke.
🙂👍

 

[Faust2011]

Und wenn man diese betroffene Datei heruntergeladen hätte, würde dann nicht der Echtzeitschutz des Microsoft Defender greifen? 🤔

 

[N3wH]

Danke für die News.
Hatte ich auch noch nicht mitbekommen.

 

[MichaG]

@Faust2011 "The file was called ‘HWiNFO_Monitor_Setup.exe.’ After the download, my Windows Defender instantly detects a virus,” a Reddit user reported." schreibt Cybernews. Also demnach springt er an, aber wie verlässlich das ist, weiß ich nicht.

 

[PC295]

HWiNFO_Monitor_Setup.exe

Wird vom Defender als "Trojan:Win32/Malgent!MSR" gemeldet.

Auch die "CRYPTBASE.dll" der portable Version wird vom Defender als "Trojan:Win32/Posilod.CA!cl" erkannt.

 

[ChrFr]

Normalerweise sollte auch der Signatur Schutz anspringen das die exe nicht von einem vertrauenswürdigen Anbieter stammt, aber ja im Normalfall sollte direkt der Defender sich melden.

Also diese Meldung hier:

"Trojan:Win32/Malgent!MSR"

Gute Info. 👍
@MichaG könnte ggf. noch im Artikel ergänzt werden.

 

[nsm]

"original" "dateien" auf der webseite damit sind aber immer noch URLs gemeint, und das koennen schon seit jahrzenten nicht bloss simple payloads/objekte sein die n webserver direkt ausliefert von der platte sondern dennoch weiterhin redirects, bouncer, load management konstrukte etc und wenn angreifer dort diese sachen angreifen dann wuerde das viel besseren schaden verursachen. waere meine meinung dazu.

daher prueft man auch hashwerte und echte objekteingeschaften als bloss auf URLs domains oder sonstwas zu vertrauen. virustotal usw. kommen da hinzu.

when #NDN - named data networking?
so many downloads so little time

 

[Ciero]

Und wenn man diese betroffene Datei heruntergeladen hätte, würde dann nicht der Echtzeitschutz des Microsoft Defender greifen? 🤔

@Faust2011 "The file was called ‘HWiNFO_Monitor_Setup.exe.’ After the download, my Windows Defender instantly detects a virus,” a Reddit user reported." schreibt Cybernews. Also demnach springt er an, aber wie verlässlich das ist, weiß ich nicht.

Bei der Malware handelt es sich um einen Trojaner der bei Microsoft unter der generischen Familienbezeichnung Wacatac geläufig ist und Windows Defender detektiert diesen auch.

Wenn schon auf die Reddit Beiträge verwiesen wird von Leuten die erwischt wurden, dann verlinkt doch auch die virustotal links davon. Das ist für diejenigen interessant, die kein Windows Defender verwenden.

Wer sich darüber hinaus mehr mit der Malware befassen möchte, ist folgender Bericht lesenswert.

The malware package (cpu-z_2.19-en.zip) bundles legitimate CPU-Z executables alongside a malicious CRYPTBASE.dll that exploits the Windows DLL search order to achieve code execution via DLL sideloading (T1574.002).

The attack is a software repackaging attack: the threat actor downloads official CPUID releases, adds a malicious CRYPTBASE.dll, and repackages as ZIP for distribution. Distribution vectors likely include:

• Malvertising via Google Ads (consistent with the 2023 CPU-Z malvertising campaign)
• SEO poisoning with fake download sites
• Fake software portals (file names like cpu-z_2.19-en.zip, cpu-z.zip, cpu-z_2.19.zip suggest multiple distribution channels)

Evidence of repackaging: One VT submission path was cpu-z_2.19-en + CRYPT/cpuz_x32.exe -- the attacker's working directory name + CRYPT leaked, showing the DLL was manually added.

Ciero

 

[Gamer_One]

Kurze frage: Könnte es auch sein das man versuchtauch HWiNFO zu kompromitieren?

 

[PC295]

Bei der Malware handelt es sich um einen Trojaner der bei Microsoft unter der Bezeichnung Wacatac geläufig ist

Das ist aber nicht richtig, wie du selbst im verlinkten Virustotal-Bericht sehen kannst.
"Wacatac" ist eher eine generische Bezeichnung für eine Vielzahl von Malware dieser Art, bzw. wie von MS definiert:

Threat actors often bundle Wacatac with cracked software, pirated media, or distribute it through phishing emails disguised as routine business messages.

 

[Cl4whammer!]

Mal aus reddit ein paar der Virustotal Reports der infizierten files:

HWiNFO_Monitor_Setup.exe (virustotal) (09rbl.exe)
https://www.virustotal.com/gui/file/eefc0f986dd3ea376a4a54f80ce0dc3e6491165aefdd7d5d6005da3892ce248f

cpu-z_2.19-en.zip (virustotal) (CRYPTBASE.dll)
https://www.virustotal.com/gui/file/eff5ece65fb30b21a3ebc1ceb738556b774b452d13e119d5a2bfb489459b4a46

 

[Ciero]

Das ist aber nicht richtig, wie du selbst im verlinkten Virustotal-Bericht sehen kannst.
"Wacatac" ist eher eine generische Bezeichnung für eine Vielzahl von Malware dieser Art, bzw. wie von MS definiert:

Ich habe nichts gegenteiliges Behauptet. Fakt ist: Microsoft detektiert diese Malware und führt sie unter diesen Namen. Ich habe mein Kommentar dennoch angepasst.

Ciero

 

[Syrato]

Danke für die Info!

Bitdefender, Norton, eset Nod32 und Windows Defender schlagen auf dem Test Laptop an.

 

[dreamz]

Danke für die news Die cpu-z_2.19-en.zip hab ich zum Glück am 14.03. schon runtergeladen und die war sauber. Ab jetzt werde ich jeden download auf viren überprüfen müssen. Das war aufjedenfall nen Weckruf für mich!

 

[Trinoo]

gestern Abend gezogen, is aber clean.

 

[Cl4whammer!]

@dreamz Fals du es noch nicht gesehen hast: https://www.virustotal.com/gui/home/upload da kannst vieles hochladen zum vergleichen, würde da nur keine persönlichen sachen hochladen (z.b potenzielles Word dokument welches wichtigen Inhalt haben kann) da das der Online Community ebendfals zur Inspektion freigegeben wird.

 

[dreamz]

Ja danke , die seite ist mir auch gleich eingefallen, habe ich schon lange nicht mehr benutzt. Gleich mal testen
Anstatt besser wird es immer schlimmer...

 

[Djura]

Ach, wie unbeschwert war jene frühe Ära des Internets, in der man sich noch mit Katzenvideos und allerlei nicht-jugendfrei verpackten Erwachsenenthemen die Zeit vertrieb. Heute jedoch wirkt dieses einstige Spielzimmer wie ein verfallener Abwasserkanal, in dem sich all das sammelt, was aus den tiefsten Schattenkammern menschlicher Abgründe heraufsteigt.

 

[ev4x]

Gut das ich sowieso jede exe bevor ich sie installiere auf Virustotal hochlade sobald mehr als ein AV einen Virus detected installiere ich sie nicht.