Se ha emitido una alerta de seguridad tras confirmarse que el sitio web oficial de CPUID, la organización responsable de herramientas de diagnóstico de hardware ampliamente utilizadas como HWMonitor y CPU-Z, fue comprometido. Durante una ventana de aproximadamente seis horas (entre el 9 y el 10 de abril de 2026), los atacantes lograron secuestrar el mecanismo de descarga de la página, exponiendo a los visitantes a malware avanzado diseñado para el robo de información (InfoStealer). Aunque la brecha ya ha sido cerrada por CPUID, cualquier usuario o administrador de TI que haya descargado estas herramientas durante ese período se encuentra en riesgo crítico.
Anatomía del Ataque
Es crucial destacar que los atacantes no vulneraron el código fuente ni el proceso de compilación de CPUID; los archivos binarios originales permanecen intactos y correctamente firmados. El ataque se centró en la capa de distribución:
- Compromiso de la API (Backend): Los cibercriminales lograron vulnerar una API secundaria en el backend del sitio web. Esto les permitió alterar dinámicamente el comportamiento de los enlaces de descarga legítimos.
- Redirección y Señuelo: De forma aleatoria, cuando un usuario hacía clic para descargar HWMonitor, el servidor comprometido lo redirigía hacia una carga útil maliciosa. Un ejemplo detectado fue la descarga de un archivo falso nombrado HWiNFO_Monitor_Setup.exe en lugar del instalador genuino.
- Ejecución y Evasión (Carga en Memoria): Según análisis de inteligencia de amenazas (como vx-underground), el instalador malicioso dirigido a sistemas de 64 bits incluye un archivo CRYPTBASE.dll falsificado para camuflarse entre los componentes de Windows.
- Infección Avanzada: Una vez ejecutado, el malware opera con una huella mínima en el disco. Utiliza PowerShell para conectarse a un servidor de Comando y Control (C2), descarga código adicional y compila una carga útil en .NET directamente en la máquina de la víctima, inyectándola en otros procesos legítimos.
- Extracción de Credenciales: El objetivo principal del malware es la recolección de datos del navegador. Se ha observado que interactúa de manera específica con la interfaz COM de elevación de Google Chrome (IElevation) para acceder y descifrar las contraseñas almacenadas localmente.
Impacto
El impacto principal es la pérdida absoluta de confidencialidad en las estaciones de trabajo comprometidas. Al tratarse de herramientas que los equipos de soporte de TI y administradores de sistemas suelen descargar para el diagnóstico de hardware, el riesgo de que el malware haya recolectado credenciales con altos privilegios administrativos es significativo. Estas credenciales robadas pueden ser utilizadas posteriormente para escalar privilegios, acceder a infraestructuras corporativas críticas o ser vendidas en la Dark Web.
Recomendaciones y Mitigación Inmediata
Aunque CPUID ha asegurado el sitio y solucionado la vulnerabilidad en su API, los equipos de seguridad deben actuar de forma retroactiva para identificar posibles infecciones:
- Auditoría de Descargas Recientes: Identificar mediante herramientas EDR/XDR o registros de proxies web cualquier descarga proveniente de los dominios de CPUID realizada entre el 9 y el 10 de abril de 2026.
- Búsqueda de IoCs (Indicadores de Compromiso): Rastrear la red en busca de ejecutables anómalos relacionados con diagnósticos de hardware (ej. el mencionado HWiNFO_Monitor_Setup.exe) y auditar la creación de archivos CRYPTBASE.dll no firmados por Microsoft en directorios de usuarios o temporales.
- Monitoreo de Comportamiento en Memoria: Alertar sobre la ejecución anómala de scripts de PowerShell que intenten conectarse a dominios externos desconocidos o procesos inyectados en memoria que intenten acceder al almacén de credenciales de Google Chrome u otros navegadores web.
- Rotación de Credenciales Preventiva: Cualquier administrador de sistemas o usuario que haya ejecutado instaladores sospechosos de CPUID en la fecha mencionada debe ser aislado de la red, y todas las credenciales almacenadas en su equipo (incluyendo contraseñas web, tokens de sesión y accesos VPN) deben ser revocadas y rotadas de inmediato.
