Сайт CPUID взломали и сутки раздавали STX RAT под видом CPU-Z и HWMonito

13.04.2026

Сайт CPUID, через который распространяются CPU-Z, HWMonitor, HWMonitor Pro и PerfMonitor, был скомпрометирован. Около суток злоумышленники подменяли ссылки на загрузку и раздавали зараженные сборки, которые в итоге устанавливали на машины жертв троян удаленного доступа STX RAT.

Первыми проблему заметили пользователи Reddit. Они обратили внимание, что официальный сайт вместо штатных утилит отдает подозрительный файл HWiNFO_Monitor_Setup - инсталлятор на базе Inno Setup с русскоязычным интерфейсом. Фактически вместо программ CPUID пользователям подсовывали подделку под другой популярный мониторинговый инструмент.

Позже атаку подтвердили и в самой CPUID. По предварительным данным, злоумышленники получили доступ к вспомогательной функции, вероятно ко второстепенному API, из-за чего сайт случайным образом показывал вредоносные ссылки. При этом оригинальные подписанные бинарники, как утверждает компания, затронуты не были.

По данным аналитиков «Лаборатории Касперского», инцидент длился с 15:00 UTC 9 апреля до примерно 10:00 UTC 10 апреля. За это время через сайт распространялись зараженные версии CPU-Z 2.19, HWMonitor Pro 1.57, HWMonitor 1.63 и PerfMonitor 2.04. Вредоносные сборки поставлялись как в ZIP-архивах, так и в виде отдельных установщиков.

Технически цепочка выглядела так: внутри находился легитимный подписанный исполняемый файл и вредоносная библиотека CRYPTBASE.dll, которая подгружалась через DLL sideloading. Эта DLL связывалась с управляющим сервером, проверяла окружение на признаки песочницы и затем разворачивала финальную полезную нагрузку - STX RAT.

Этот троян умеет красть данные, создавать скрытый удаленный рабочий стол, запускать EXE, DLL и PowerShell-код прямо в памяти, а также проксировать и туннелировать трафик через зараженную систему. По оценке исследователей, зараженные файлы могли скачать более 150 пользователей. Среди жертв оказались не только частные лица, но и организации из ритейла, промышленности, телекома, консалтинга и агросектора.

Разработчики CPUID уже устранили проблему, и сайт снова раздает безопасные версии. Но сама история показательная: компрометация даже нишевого сайта с популярными системными утилитами может быстро превратиться в массовую раздачу RAT под видом доверенного софта.