Хакери підмінили ці популярні програми прямо на офіційному сайті, щоб ви завантажили вірус

Олександр Гайдамашко

Основні тези

Популярні програми HWMonitor та CPU-Z виявилися зараженими шкідливим кодом, що загрожує безпеці даних користувачів.
Рекомендовано утриматися від завантаження та оновлення цих програм до розв'язання проблеми, а також перевірити комп'ютер на віруси, якщо оновлення вже відбулося.

Вірус в оновленнях CPU-Z та HWMonitor – як захистити свій ПК від трояна

Небезпечне оновлення: чому популярні утиліти для ПК раптом стали загрозою / Колаж 24 Каналу/Depositphotos

Користувачі по всьому світу зіткнулися з неочікуваною загрозою під час спроби оновити цілком звичні інструменти для моніторингу системи. Замість корисної інформації про температуру чи частоту процесора, офіційні канали розповсюдження відомого софту почали пропонувати шкідливе програмне забезпечення.

Які програми назвали небезпечними?

Дві найбільш затребувані утиліти для контролю за станом комп'ютерного заліза, HWMonitor та CPU-Z, опинилися в центрі скандалу через виявлення в їхніх інсталяторах шкідливого коду. Користувачі, які намагалися завантажити актуальну версію 1.63, почали отримувати тривожні сповіщення від антивірусних програм. Оскільки ці інструменти встановлені на мільйонах пристроїв, ситуація набула критичного масштабу, поставивши під загрозу безпеку величезної кількості персональних даних, пише WCCF TECH.

Дивіться також ФБР знайшло спосіб отримати видалені з Signal повідомлення, але сам месенджер у цьому не винен

Перші сигнали про проблему з'явилися на платформі Reddit. Один із користувачів зауважив, що при спробі оновити HWMonitor з версії 1.42 до 1.63 безпосередньо через інтерфейс програми, він був перенаправлений на офіційну сторінку CPUID. Однак замість звичного файлу з назвою на кшталт "hwmonitor_1.62.exe", система запропонувала завантажити виконавчий файл під назвою "HWiNFO_Monitor_Setup.exe". Це відразу викликало підозру, оскільки назва файлу не відповідала стандартам розробника.

Що буде, якщо ігнорувати попередження?

Після завантаження Windows Defender миттєво ідентифікував загрозу. У тих випадках, коли користувачі ігнорували попередження системи безпеки та запускали файл, на екрані з'являлася програма встановлення російською мовою.

Аналіз підозрілого файлу на ресурсі VirusTotal підтвердив найгірші побоювання: програмне забезпечення містило небезпечні елементи. Пізніше незалежні експерти з кібербезпеки, зокрема група vx-underground, підтвердили, що це не була помилкова тривога антивірусів. Йшлося про багатоетапну атаку з використанням трояна, яка стала можливою через компрометацію доменного шляху на офіційному сайті.

Що каже розробник?

Розробник програм CPU-Z та HWMonitor Самуель Демелеместер повідомив, що наразі триває розслідування інциденту. Згідно з попереднім аналізом, основні бінарні файли самих програм не зазнали змін.

Вразливість була виявлена в API, пов'язаних з вебсайтом. Судячи з усього, зловмисникам якимось чином вдалося підмінити файли завантаження, щоб користувачі замість офіційних отримували підробки з вірусами.

Проблема залишалася актуальною протягом приблизно 6 годин. Протягом цього часу будь-який користувач, який звертався до офіційного ресурсу за оновленням, міг отримати інфікований файл замість оригіналу.

Для порівняння, попередні версії програми, такі як 1.61 або 1.62, завантажувалися з коректними назвами та не викликали жодних нарікань з боку антивірусних систем. Деякі користувачі помітили, що якщо вручну змінити посилання на завантаження, можна було отримати справжній файл "hwmonitor_1.63.exe", який проходив перевірку на безпеку без зауважень.

Що робити користувачас?

На поточний момент наполегливо рекомендується утриматися від завантаження обох утиліт до повного усунення наслідків зламу.
Тим, хто вже має встановлені попередні версії програм, краще не проводити жодних оновлень, поки розробники не нададуть офіційних гарантій безпеки своїх серверів.
Якщо ви оновили програми протягом останньої доби, слід видалити їх, а потім провести повну перевірку вашого комп'ютера на наявність вірусів.