Links de download de CPU-Z e HWMonitor foram substituídos por menos de 24 horas para entregar arquivos com DLL maliciosa e carregar um trojan de acesso remoto com recursos de controle, execução em memória e possível coleta de informações.
| Componente | Site da CPUID e fluxos de download de CPU-Z, HWMonitor, HWMonitor Pro e PerfMonitor, com entrega final do STX RAT. |
| Vetor | Comprometimento de uma funcionalidade secundária, descrita como uma API lateral, que fez o site principal exibir aleatoriamente links maliciosos entre 9 de abril de 2026, 15:00 UTC, e 10 de abril de 2026, 10:00 UTC. |
| Impacto | Usuários que baixaram os instaladores trojanizados puderam executar pacotes contendo binário legítimo assinado e a DLL maliciosa CRYPTBASE.dll, usada para side-loading e posterior implantação do STX RAT. |
| Prioridade | Revisar downloads de ferramentas CPUID feitos durante a janela do incidente, procurar execução de CRYPTBASE.dll ao lado de binários legítimos e isolar hosts com comunicação para infraestrutura associada ao STX RAT. |
| Artefatos | Arquivos distribuídos como arquivos ZIP e instaladores autônomos; presença de executável legítimo assinado do produto correspondente junto de CRYPTBASE.dll. |
| IoCs | Endereço C2 defangado 95.216.51[.]236, reutilizado em campanha anterior com instaladores falsos do FileZilla e associado à mesma cadeia de infecção. |
A CPUID teve seu site comprometido em uma janela curta, inferior a 24 horas, e esse acesso foi usado para redirecionar parte dos downloads de ferramentas conhecidas de inventário e monitoramento de hardware para arquivos trojanizados. O período descrito vai de 9 de abril de 2026, por volta de 15:00 UTC, até 10 de abril de 2026, por volta de 10:00 UTC. A atividade afetou a superfície de distribuição de CPU-Z, HWMonitor, HWMonitor Pro e PerfMonitor, mas o material analisado indica que os arquivos originais assinados da CPUID não foram alterados. O ponto crítico foi o caminho de obtenção do instalador: a página principal podia mostrar links maliciosos de forma aleatória por causa do comprometimento de uma funcionalidade secundária, tratada como uma API lateral.
A cadeia observada combina abuso de confiança em software popular, empacotamento com binário legítimo assinado e carregamento lateral de DLL. Os pacotes falsos foram entregues como arquivos ZIP e como instaladores autônomos, contendo o executável legítimo do produto e uma DLL maliciosa chamada CRYPTBASE.dll. Essa escolha de nome é relevante porque o operador tentou induzir o processo legítimo a carregar a biblioteca colocada no mesmo diretório, em vez de depender de um binário evidentemente malicioso como primeiro estágio. Depois de carregada, a DLL contata servidor externo, executa verificações antissandbox e busca payloads adicionais, com objetivo final de instalar o STX RAT.
O STX RAT comando operacional omitido HVNC, o que amplia o risco para contas de usuário, sessões locais, dados disponíveis no endpoint e operações interativas conduzidas pelo invasor. O incidente atingiu mais de 150 vítimas identificadas, majoritariamente indivíduos, com infecções concentradas em Brasil, Rússia e China; também houve impacto em organizações dos setores de varejo, manufatura, consultoria, telecomunicações e agricultura.
O fluxo começa no comprometimento do mecanismo que influenciava a renderização ou seleção dos links de download no site da CPUID. Em vez de substituir diretamente os executáveis originais assinados, o operador alterou a experiência de download para que alguns visitantes fossem enviados a sites maliciosos. Esse detalhe muda a leitura defensiva do incidente: verificações de assinatura do binário legítimo podem não ser suficientes se o pacote completo contiver uma biblioteca maliciosa no mesmo diretório. A presença do executável assinado dentro do pacote cria aparência de normalidade, enquanto a DLL posicionada ao lado dele fornece o ponto de execução maliciosa.
A técnica de DLL side-loading depende de uma condição prática: o processo legítimo precisa resolver e carregar uma biblioteca a partir de um local controlado pelo pacote entregue ao usuário. No caso descrito, a biblioteca recebeu o nome CRYPTBASE.dll, e sua função era atuar como estágio malicioso dentro de um pacote que também incluía o software esperado. Após a execução, a DLL tenta contatar infraestrutura externa e só então prossegue para a entrega de componentes adicionais. Antes dessa etapa, ela executa verificações antissandbox, comportamento consistente com tentativas de reduzir detecção em ambientes automatizados de análise e atrasar a classificação do arquivo como malicioso.
A etapa final documentada é a implantação do STX RAT. O conjunto de capacidades informado permite ao operador controlar o host comprometido, executar componentes adicionais e interagir com a sessão gráfica por meio de recursos como HVNC. A execução em memória de EXE, DLL, PowerShell e shellcode aumenta a dificuldade de detecção por controles que dependem apenas de arquivos persistidos em disco. O uso de proxy reverso e tunelamento também cria risco de abuso do host como ponto de passagem para comunicações controladas pelo invasor, embora o material analisado não sustente afirmar movimentação lateral, exfiltração confirmada ou saída comprovada de informações.
A campanha reutilizou endereço de comando e controle e parâmetros de conexão já associados a uma operação anterior com instaladores falsos do FileZilla. O endereço 95.216.51[.]236 aparece como artefato compartilhado entre essas atividades. A reutilização de cadeia de infecção, configuração e infraestrutura reduz a sofisticação operacional percebida e fornece uma oportunidade objetiva para correlação defensiva: ambientes que já criaram detecções para a campanha anterior podem reaproveitar parte da lógica, desde que validem caminhos de execução, nomes de artefatos e relações de processo específicas deste incidente da CPUID.
A superfície afetada concentra-se em usuários e organizações que baixaram instaladores de produtos CPUID durante a janela de exposição. O risco não depende apenas de visitar o site, mas de obter e executar o pacote trojanizado entregue por links maliciosos. Como a exibição desses links foi descrita como aleatória, nem todo acesso ao site durante o período necessariamente resultou em download comprometido. Ainda assim, a janela temporal é suficientemente precisa para orientar triagem: downloads realizados entre 9 de abril de 2026, 15:00 UTC, e 10 de abril de 2026, 10:00 UTC, exigem verificação do pacote, do host e da telemetria de execução.
Os produtos envolvidos são ferramentas amplamente usadas para identificar CPU, sensores, temperatura, tensão, frequência, telemetria de hardware e detalhes do sistema. Essa popularidade torna o abuso relevante mesmo quando a maioria das vítimas é composta por indivíduos, porque estáções de administradores, técnicos, suporte de TI, integradores e equipes de hardware costumam executar esse tipo de utilitário em ambientes corporativos. O material analisado cita impactos em varejo, manufatura, consultoria, telecomunicações e agricultura, o que indica que a triagem não deve ficar restrita a máquinas pessoais fora da rede empresarial.
A avaliação disponível também associa a atividade a uma campanha de aproximadamente 10 meses iniciada em julho de 2025, quando uma amostra chamada superbad.exe foi observada se comunicando com o endereço C2 95.216.51[.]236. A atribuição é limitada: há avaliação de que o operador seja de língua russa e possivelmente motivado financeiramente ou atuante como intermediário de acesso inicial, mas esses elementos devem ser tratados como inferência analítica, não como identificação definitiva de grupo. Para defesa, a parte mais acionável é a repetição de infraestrutura, malware e cadeia de infecção.
A exposição também tem um componente de confiança no canal de distribuição. Mesmo com arquivos legítimos assinados preservados, o pacote entregue ao usuário pode conter elemento adicional capaz de alterar o comportamento esperado da instalação. Isso exige que inventários de software e EDR correlacionem não apenas o nome do produto instalado, mas o diretório temporário ou de extração, o conjunto de arquivos adjacentes, a árvore de processos e conexões de rede originadas logo após a execução.
- Downloads de
CPU-Z,HWMonitor,HWMonitor ProePerfMonitorfeitos durante a janela de 9 de abril de 2026, 15:00 UTC, a 10 de abril de 2026, 10:00 UTC. - Pacotes ZIP ou instaladores autônomos contendo executável legítimo assinado e a DLL
CRYPTBASE.dllno mesmo contexto de execução. - Hosts no Brasil, Rússia e China aparecem entre os mais afetados, com vítimas também em organizações de varejo, manufatura, consultoria, telecomunicações e agricultura.
A investigação deve começar pela reconstrução de downloads e execuções na janela do incidente. Proxies, gateways web, DNS corporativo, EDR e histórico de navegador podem indicar acesso ao site da CPUID, redirecionamentos para domínios incomuns e obtenção de instaladores fora do padrão esperado. Como os nomes dos sites maliciosos não estão disponíveis no material analisado, a busca defensiva deve se apoiar em relações de evento: download de arquivo de instalação seguido por extração ou execução de binário CPUID acompanhado de CRYPTBASE.dll, conexões externas imediatas e criação de processos filhos associados a estágios posteriores.
No endpoint, a presença de CRYPTBASE.dll ao lado de executáveis dos produtos CPUID é um sinal de alta relevância. A análise não deve assumir que todo binário assinado é benigno quando a árvore de execução mostra carregamento de DLL fora do diretório legítimo de instalação. A telemetria de carregamento de módulos, quando disponível, pode revelar o caminho completo da DLL, o processo que a carregou e o horário de execução. Eventos de EDR que registrem chamadas de rede do processo legítimo ou de módulo recém-carregado ajudam a separar instalação normal de comportamento de estágio malicioso.
Na rede, o indicador explícito é o endereço 95.216.51[.]236, que deve ser tratado de forma defangada em documentação e bloqueios controlados. A reutilização desse C2 com campanha anterior baseada em instaladores falsos do FileZilla permite ampliar a caça para eventos históricos envolvendo esse endereço, especialmente se houver conexões durante ou após a execução de pacotes baixados de páginas de software popular. A defesa também deve procurar padrões compatíveis com RAT: sessões de longa duração, beaconing, conexões iniciadas por processos de instalação ou utilitários de hardware, proxy reverso, tunelamento e tráfego incomum logo após execução de software recém-baixado.
A investigação de contas e dados deve ser proporcional ao que o contexto sustenta. O STX RAT possui capacidades de infostealer, mas o contexto não confirma quais dados foram efetivamente coletados em cada ambiente. Por isso, a resposta deve verificar sinais de acesso a navegadores, credenciais armazenadas, arquivos locais sensíveis e ferramentas administrativas apenas nos hosts com evidência de execução ou comunicação suspeita. Essa abordagem reduz ruído e evita classificar o incidente como exposição confirmada sem prova de coleta ou saída de informação.
- Execução de produtos CPUID a partir de diretórios temporários, pastas de download, arquivos extraídos ou caminhos incomuns durante a janela do incidente.
- Carregamento da DLL
CRYPTBASE.dllpor executável legítimo assinado relacionado aCPU-Z,HWMonitor,HWMonitor ProouPerfMonitor. - Conexões para o endereço C2 defangado
95.216.51[.]236ou para infraestrutura externa logo após a execução do instalador. - Alertas de execução em memória, criação de processos incomuns, interação remota com desktop, proxy reverso ou tunelamento associados ao host afetado.
A resposta inicial deve preservar evidência e reduzir a capacidade de controle remoto. Hosts que baixaram e executaram instaladores CPUID durante a janela informada devem ser isolados da rede até a conclusão da triagem, principalmente quando houver CRYPTBASE.dll, conexão para C2 ou comportamento de execução posterior. A remoção simples do utilitário não é suficiente se o STX RAT foi implantado, porque o estágio final pode ter executado payloads adicionais ou operado em memória. A contenção deve priorizar aquisição de artefatos voláteis quando o ambiente tiver processo definido para isso.
A correção operacional passa por substituir qualquer pacote obtido durante a janela por instaladores legítimos verificados, revisar o hash interno se a organização mantiver repositório próprio de software e bloquear o indicador C2 conhecido nos controles de rede. Como o contexto informa que os arquivos originais assinados da CPUID não foram impactados, o foco defensivo é validar o pacote efetivamente baixado e a cadeia de execução no endpoint. Equipes que usam ferramentas de distribuição interna devem garantir que caches, compartilhamentos de rede e portais corporativos não tenham armazenado os pacotes trojanizados.
A mitigação de credenciais deve ser guiada por evidência. Em hosts com execução confirmada do STX RAT, a rotação de senhas e revogação de sessões deve cobrir contas usadas no sistema afetado, navegadores autenticados e credenciais administrativas que possam ter estado disponíveis. Para ambientes corporativos, é prudente revisar autenticações anômalas posteriores à infecção, tokens de acesso e uso de contas privilegiadas a partir do host. O contexto não comprova exfiltração, portanto a comunicação interna deve descrever risco de coleta por capacidade do malware, não vazamento confirmado.
Após a contenção, a organização deve transformar o incidente em detecção permanente. Regras comportamentais para DLL side-loading em utilitários assinados, correlação entre download recente e carregamento de módulo suspeito, e alerta para C2 reutilizado são mais resilientes que checagens pontuais de nome de arquivo. Também é importante revisar políticas de obtenção de software: ferramentas usadas por administradores e suporte devem ser baixadas por canais controlados, registradas em inventário e executadas a partir de locais previsíveis, reduzindo a chance de um redirecionamento temporário no site do fornecedor chegar diretamente ao endpoint de produção.
- Isolar hosts com execução de instaladores CPUID baixados na janela do incidente e evidência de
CRYPTBASE.dllou comunicação externa suspeita. - Remover pacotes obtidos durante o período afetado e reinstalar somente a partir de arquivos legítimos verificados pelo processo interno da organização.
- Bloquear e procurar comunicação histórica com
95.216.51[.]236, mantendo o indicador defangado em relatórios e documentação. - Verificar caches de navegador, repositórios internos de software, compartilhamentos e ferramentas de distribuição que possam ter preservado instaladores trojanizados.
- Rotacionar credenciais usadas em hosts com infecção confirmada e revisar sessões ou autenticações posteriores à execução do malware.
0 Comentários