Wenn ihr am 9. oder 10. April 2026 die beliebten Tools CPU-Z oder HWMonitor über die offizielle Webseite von CPUID heruntergeladen habt, solltet ihr euren Rechner besser einer gründlichen Überprüfung unterziehen: Die Webseite der CPUID-Entwickler wurde gehackt.
CPUID-Entwickler Sam (auch bekannt als »Doc TB«) bestätigte den Vorfall per X-Mitteilung:
Es scheint, dass eine sekundäre Funktion (im Wesentlichen eine Side-API) zwischen dem 9. und 10. April für ungefähr sechs Stunden kompromittiert war, was dazu führte, dass die Hauptwebsite zufällig bösartige Links anzeigte. Unsere signierten Originaldateien wurden nicht kompromittiert. Der Angriff wurde entdeckt und ist behoben.
PLUS
19:25
»Als jüngerer Mensch hätte ich das bis zum Umfallen gespielt!« - GameStar 05/16 im Rückblick
Supply-Chain-Angriff: Wie die Malware verteilt wurde
Der Angriff erfolgte als klassischer Supply-Chain-Angriff, wie erste Analysen zeigen: Die Täter kompromittierten keine originalen CPUID-Dateien, sondern manipulierten die Download-Links auf der Website. Statt der erwarteten Installer wurden Nutzer auf externe umgeleitet.
- Die ausgelieferte Datei trug den Namen »HWiNFO_Monitor_Setup.exe« – kein zufällig gewählter Dateiname, schließlich sollte der möglichst Ähnlichkeiten mit dem legitimen, aber völlig unabhängigen Tool HWiNFO erzeugen.
- Beim Ausführen erschien laut Bleeping Computer ein russischsprachiges Installationsfenster auf Basis von Inno Setup – ein sofort verdächtiges Merkmal, da CPUID-Software nie auf diese Weise verpackt wird.
Das primäre Ziel scheint der Diebstahl von im Browser gespeicherten sensiblen Daten gewesen zu sein, wie der Sicherheitsforscher vx-underground beobachtete. Demnach greife die Malware ein Interface an, um gespeicherte Passwörter zu entschlüsseln und zu extrahieren.
In diesem Download-Zeitraum lebt ihr gefährlich
Betroffen sind ausschließlich Nutzer, die zwischen dem 9. und 10. April 2026 die 64-Bit-Version von HWMonitor oder CPU-Z heruntergeladen haben. Die signierten Original-Binärdateien von CPUID waren laut Doc TB (siehe obiges Zitat) zu keinem Zeitpunkt kompromittiert.
- Wenn ihr in diesem Zeitraum eines der Tools heruntergeladen oder gar installiert habt, ist euch ein vollständiger Systemscan ans Herz gelegt.
- Im schlimmsten Fall der Infizierung seid ihr mit einer vollständigen Neuinstallation eures Betriebssystems auf der sicheren Seite: Die Malware operiert laut vx-underground nahezu vollständig in-memory und hinterlässt entsprechend hartnäckige Prozesse.
CPUID hat nach eigenen Angaben das Problem behoben; die Website ist inzwischen wieder erreichbar und liefert saubere Dateien aus.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.