Schadsoftware über CPU-Z 2.19, HWMonitor 1.63 und powerMAX 1.00 verteilt

CPUID, der französische Entwickler von Software wie CPU-Z, HWMonitor, HWMonitor Pro, PerfMonitor 2 und powerMAX, ist in der Nacht vom 9. auf den 10. April 2026 Opfer eines Lieferkettenangriffs geworden. Über die offizielle Webseite von CPUID wurden über einen Zeitraum von ca. sechs Stunden manipulierte Pakete der Programme CPU-Z 2.19 und HWMonitor 1.63 ausgeliefert, die einen Trojaner aus der Familie Alien RAT (Backdoor.Win64.Alien) enthalten. Für die Angriff ist vermutlich die selbe Gruppe verantwortlich, die sich Anfang März 2026 als FileZilla ausgegeben hatte.

Eine bösartige DLL-Datei im Archiv
N3mes1s hat eine detaillierte Analyse des Angriffs auf GitHub veröffentlicht. Die Angreifer hatten dem Download des englischsprachigen Archivs cpu-z_2.19-en.zip eine bösartige Bibliothek namens CRYPTBASE.dll hinzugefügt, welche den Schadcode durch DLL-Sideloading ausführt. Eigentlich stammt die Bibliothek CRYPTBASE.dll von Microsoft und befindet sich im Systemordner von Windows. Wenn CPU-Z gestartet wird und sich eine weitere CRYPTBASE.dll im CPU-Z-Ordner befindet, wird diese jedoch bevorzugt. Das Laden erfolgt dabei nicht durch CPU-Z selbst, sondern über die Windows-Bibliothek ADVAPI32.dll, welche seit Jahren ein typischer Angriffsvektor auf Windows-Systemen ist. Das ZIP-Archiv von powerMAX 1.00 wurde auf die gleiche Weise manipuliert.

Mehrstufige Angriffskette im Arbeitsspeicher
Die falsche CRYPTBASE.dll startet daraufhin einen mehrstufigen Angriff, der sich weitgehend im Arbeitsspeicher abspielt: Zunächst dekodiert eine mit Zig kompilierte Proxy-DLL Shellcode aus ihrem .rdata-Abschnitt. Dann folgt das reflektive Laden der verschlüsselten, portierbaren und ausführbaren Datei (PE-Datei) out.dll (Payload) mittels positionsunabhängigem Shellcode. Diese nutzt DNS-over-HTTPS über Cloudflare (1.1.1.1), um einer DNS-Überwachung zu entgehen, und lädt die eigentliche Backdoor über den C2-Server welcome.supp0v3.com nach. Dann führt ein Loader auf PowerShell-Basis den Backdoor-Code über stdin-Piping aus. Über csc.exe werden die Shellcode-Loader im Speicher kompiliert und dauerhaft im System verankert. Die Persistenz erfolgt durch geplante Tasks, PowerShell-Profil-Autostart, MSBuild .proj-Dateien und COM-TypeLib-Hijacking mit IPv6-kodierter .NET-Deserialisierungskette.

Pfusch bei HWMonitor 1.63
Der Angriff auf CPUID wurde entdeckt, als Reddit-Nutzer beim Download von HWMonitor 1.63 zu einer Datei namens HWiNFO_Monitor_Setup.exe umgeleitet wurden, die sich auf einem Cloudflare-R2-Objekt befand. Die richtigen Download-Dateien heißen jedoch hwmonitor_1.63.exe sowie hwmonitor_1.63.zip und starten auch keinen Installer in russischer Sprache. Da fragt man sich, wie eine derart ausgeklügelte Angriffskette mit verschlüsseltem Code, DNS-over-HTTPS und PE-Dateien mit einer stumpfen Umleitung auf einen russichsprachigen Installer zusammenpassen. Als Gemeinsamkeiten bleiben bösartige Bibliotheken, die sich als CRYPTBASE.dll ausgeben, sowie die Verbreitung über die offizielle Webseite von CPUID. Sam Demeulemeester (Doc TB) von CPUID hat den Angriff bestätigt. Die Untersuchungen laufen noch.