(https://i.imgur.com/8UATKys.jpeg)
Un reciente incidente de ciberseguridad ha encendido las alarmas en la comunidad tecnológica: atacantes lograron comprometer una API del proyecto CPUID, manipulando los enlaces de descarga oficiales para distribuir versiones maliciosas de herramientas ampliamente utilizadas como CPU-Z y HWMonitor.
Estas aplicaciones cuentan con millones de usuarios en todo el mundo y son fundamentales para monitorear el hardware, analizar el rendimiento del sistema y obtener especificaciones detalladas del equipo. La magnitud del ataque pone en evidencia los riesgos asociados a la cadena de suministro de software y la confianza en fuentes oficiales.
Cómo ocurrió el ataque: manipulación de enlaces y distribución maliciosaSegún los reportes iniciales de usuarios en Reddit, los enlaces de descarga en el sitio oficial de CPUID comenzaron a redirigir a archivos alojados en el servicio de almacenamiento Cloudflare R2, en lugar de las fuentes habituales.
El archivo descargado, identificado como HWiNFO_Monitor_Setup, no correspondía a ninguna versión legítima de CPU-Z o HWMonitor. En su lugar, se trataba de una versión troyanizada de otra herramienta popular: HWiNFO.
Uno de los detalles más sospechosos fue que, al ejecutar el archivo, se iniciaba un instalador en ruso utilizando un empaquetador de Inno Setup, algo completamente atípico para este tipo de software.
Lo más preocupante es que los binarios originales no fueron comprometidos. Los usuarios aún podían descargar versiones limpias mediante enlaces directos, lo que indica que el ataque se centró específicamente en la manipulación de la cadena de distribución, una técnica conocida como envenenamiento de enlaces de descarga.
Análisis del malware: técnicas avanzadas y evasión de seguridadInvestigadores de seguridad como Igor's Lab y el colectivo @vxunderground confirmaron que el malware distribuido no era una amenaza común. Según sus análisis, se trata de un cargador altamente sofisticado que utiliza múltiples técnicas avanzadas.
Entre las características más relevantes del malware destacan:
- Ejecución multietapa, dificultando su análisis
- Operación casi completamente en memoria (fileless malware)
- Uso de técnicas de evasión para evitar detección por EDR y antivirus
- Proxy de funciones del sistema (NTDLL) mediante ensamblador .NET
- Disfraz de archivos para parecer software legítimo
Este nivel de sofisticación indica que el ataque fue cuidadosamente diseñado y dirigido, posiblemente por un grupo con experiencia en campañas de ciberespionaje o robo de información.
Clasificación del malware y riesgos para los usuariosEl archivo malicioso fue analizado en plataformas como VirusTotal, donde al menos 20 motores antivirus lo detectaron como amenaza. Sin embargo, no existe una clasificación única.
Algunas soluciones lo identifican como:
- Tedy Trojan
- Artemis Trojan
Otros investigadores sugieren que se trata de un infostealer, es decir, un malware diseñado para robar información sensible como credenciales, datos del sistema o información financiera.
Esto representa un riesgo crítico para usuarios que descargaron e instalaron el archivo durante la ventana de ataque, ya que podrían haber comprometido sus datos personales o corporativos.
Relación con otros ataques: ¿una campaña en curso?Según los investigadores, este incidente podría no ser aislado. Se ha identificado que el mismo grupo de amenazas habría atacado recientemente a usuarios del cliente FTP FileZilla, lo que sugiere una estrategia clara: comprometer herramientas ampliamente utilizadas para maximizar el impacto.
Este tipo de ataques a la cadena de suministro se ha vuelto cada vez más frecuente, ya que permite a los ciberdelincuentes distribuir malware a gran escala aprovechando la confianza en software legítimo.
Declaración oficial de CPUID: compromiso limitado y controladoCitarTras el incidente, CPUID confirmó que la brecha de seguridad fue causada por el compromiso de una API secundaria. Según la empresa:
"Las investigaciones siguen en curso, pero parece que una función secundaria fue comprometida durante aproximadamente seis horas entre el 9 y el 10 de abril, provocando que la web mostrara enlaces maliciosos de forma aleatoria. Nuestros archivos originales firmados no fueron comprometidos."
Esto significa que:
- El ataque tuvo una duración limitada (aproximadamente 6 horas)
- Los archivos oficiales permanecieron intactos
- Solo los enlaces de descarga fueron manipulados
Además, se informó que el incidente ocurrió mientras el desarrollador principal se encontraba de vacaciones, lo que pudo haber influido en el tiempo de respuesta.
Actualmente, el problema ha sido solucionado y el sitio oficial ya ofrece versiones limpias y seguras de CPU-Z y HWMonitor.
Qué deben hacer los usuarios afectadosSi descargaste CPU-Z o HWMonitor entre el 9 y el 10 de abril, es fundamental tomar medidas inmediatas:
1. Verificar archivos descargados
Elimina cualquier archivo sospechoso, especialmente HWiNFO_Monitor_Setup
2. Ejecutar un análisis completo
Utiliza antivirus actualizado o herramientas EDR
3. Revisar actividad del sistema
Monitorea procesos inusuales o conexiones sospechosas
4. Cambiar credenciales
Especialmente si el equipo pudo haber sido comprometido
5. Descargar solo desde fuentes verificadas
Asegúrate de utilizar enlaces oficiales actualizados
Un recordatorio crítico sobre la seguridad en la cadena de suministroEl ataque a CPU-Z y HWMonitor pone de manifiesto una realidad preocupante: incluso las fuentes oficiales pueden ser comprometidas. La manipulación de enlaces de descarga es una técnica cada vez más utilizada por ciberdelincuentes para distribuir malware de forma masiva.
Este incidente refuerza la importancia de:
- Verificar la autenticidad de los archivos descargados
- Utilizar soluciones de seguridad actualizadas
- Mantener una actitud vigilante incluso con software confiable
A medida que los ataques evolucionan, la ciberseguridad debe ser una prioridad tanto para desarrolladores como para usuarios finales.
Fuente: https://www.bleepingcomputer.com/