Was jetzt zuerst tun?
- 1
Downloads im Zeitfenster identifizieren
Prüfen, ob zwischen dem 9. und 10. April 2026 CPU-Z, HWMonitor, HWMonitor Pro oder PerfMonitor von cpuid.com geladen oder per In-App-Update bezogen wurden.
- 2
Nach Artefakten suchen
Nach Dateinamen wie HWiNFO_Monitor_Setup.exe, betroffenen ZIP-Archiven und CRYPTBASE.dll im Kontext der CPUID-Tools suchen.
- 3
Netzwerk- und EDR-Daten prüfen
DNS-, Proxy-, Firewall- und EDR-Daten auf bekannte Domains, Download-Pfade und Folgekommunikation prüfen.
CPUID, der Hersteller hinter CPU-Z und HWMonitor, hat bestätigt, dass seine Website kurzzeitig kompromittiert war und statt legitimer Downloads trojanisierte Dateien auslieferte. Wichtig für die Einordnung: Nach aktuellem Stand wurden nicht die eigentlichen, signierten Original-Builds manipuliert, sondern die Download-Links auf der Website.
Für Unternehmen ist das mehr als eine kuriose News aus der Hardware-Ecke. Solche Tools landen häufig auf Admin-Workstations, Entwickler-PCs, Helpdesk-Systemen oder Werkstatt-Rechnern und werden oft ad hoc von der Herstellerseite geladen. Genau deshalb ist ein Vorfall wie dieser ein klassischer Supply-Chain- beziehungsweise Watering-Hole-Fall: Wer dem offiziellen Download-Pfad vertraut hat, konnte sich trotz legitimer Quelle Malware einfangen.
Was ist passiert?
Laut CPUID wurde eine Nebenfunktion beziehungsweise Side-API kompromittiert. Dadurch zeigte die Hauptseite für einen begrenzten Zeitraum zufällig bösartige Download-Links an. Die Angaben von CPUID und Kaspersky passen gut zusammen: Kaspersky beobachtete den Austausch legitimer Download-URLs etwa von 9. April 2026, 15:00 UTC bis 10. April 2026, 10:00 UTC.
Betroffen waren nach bisherigem Stand CPU-Z 2.19, HWMonitor 1.63, HWMonitor Pro 1.57 und PerfMonitor 2.04. Die trojanisierten Pakete enthielten laut Kaspersky jeweils ein legitimes signiertes Programm und zusätzlich eine bösartige CRYPTBASE.dll, die über DLL-Sideloading den weiteren Infektionspfad startete.
Betroffene CPUID-Downloads
| Produkt | Beobachtete Version | Was Research dazu sagt |
|---|---|---|
| CPU-Z | 2.19 | Trojanisierte ZIP- oder Installer-Auslieferung über manipulierte Links. |
| HWMonitor | 1.63 | Auffälliger Download-Name HWiNFO_Monitor_Setup.exe wurde von Nutzern gemeldet. |
| HWMonitor Pro | 1.57 | Legitimes Binary plus bösartige CRYPTBASE.dll für Sideloading. |
| PerfMonitor | 2.04 | Ebenfalls als kompromittierte ZIP- und Setup-Variante beobachtet. |
Die technische Analyse spricht für einen Angriff, der bekannte Infrastruktur und bekannte Malware-Bausteine wiederverwendete. Kaspersky sieht Überschneidungen mit einer früheren Kampagne rund um eine gefälschte FileZilla-Seite; als finale Nutzlast wurde STX RAT identifiziert.
Wer sollte jetzt die Betroffenheit prüfen?
Entscheidend ist weniger, ob Ihr Unternehmen generell CPU-Z oder HWMonitor einsetzt, sondern ob Downloads oder Updates im betroffenen Zeitfenster stattgefunden haben. Das gilt besonders für Systeme, die nicht sauber zentral gemanagt werden:
Betroffenheit priorisieren
- Admin- und Helpdesk-Rechner, auf denen Hardwarediagnose-Tools schnell nachgeladen werden.
- Werkstatt-, Imaging- oder Refurbishment-Systeme, auf denen solche Utilities häufig Standard sind.
- Entwickler- oder Power-User-Endpoints, die Tools direkt von Herstellerseiten beziehen.
- Einzelsysteme außerhalb des Softwareverteilungsprozesses, die in vielen Organisationen leicht übersehen werden.
Kaspersky berichtet von mehr als 150 beobachteten Opfern, überwiegend Privatnutzer, aber auch Organisationen aus mehreren Branchen. Die geographische Häufung lag zwar bei Brasilien, Russland und China, daraus folgt aber keine Entwarnung für andere Regionen: Wer in dem Zeitfenster den manipulierten Pfad getroffen hat, kann betroffen sein.
IOCs und schnelle Checks für die ersten 30 Minuten
Für einen ersten Hunt reichen oft schon Dateinamen, DNS-/Proxy-Treffer und Dateisystemspuren. Kaspersky nennt unter anderem die Domains cahayailmukreatif.web[.]id, pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev, transitopalermo[.]com, vatrobran[.]hr sowie Folgekommunikation zu welcome.supp0v3[.]com.
IOC-Ansatz
| Kategorie | Beispiele | Warum relevant |
|---|---|---|
| Dateinamen | HWiNFO_Monitor_Setup.exe, cpu-z_2.19-en.zip, hwmonitor_1.63.zip, PerfMonitor2_Setup.exe | Schneller Suchansatz für Downloads, Temp-Verzeichnisse und Quarantäne-Fälle. |
| DLL-Artefakt | CRYPTBASE.dll im Umfeld der CPUID-Tools | Hinweis auf DLL-Sideloading statt auf reinen Binary-Tausch. |
| Netzwerk | pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev, welcome.supp0v3[.]com | Geeignet für DNS-, Proxy-, EDR- und Firewall-Hunts. |
# Quick Check für Downloads und DLL-Artefakte auf einem Windows-Host
# Für Massenprüfungen über EDR/SIEM/Softwareverteilung ausrollen.
$roots = @(
"$env:USERPROFILE\Downloads",
"$env:TEMP",
"$env:LOCALAPPDATA\Temp"
)
$patterns = @(
"HWiNFO_Monitor_Setup.exe",
"cpu-z_2.19-en.zip",
"hwmonitor_1.63.zip",
"HWMonitorPro_1.57_Setup.exe",
"PerfMonitor2_Setup.exe",
"CRYPTBASE.dll"
)
Get-ChildItem -Path $roots -Recurse -Force -ErrorAction SilentlyContinue |
Where-Object { -not $_.PSIsContainer -and $patterns -contains $_.Name } |
Select-Object FullName, Name, Length, LastWriteTime |
Sort-Object LastWriteTime -DescendingDieser Check ersetzt keine Forensik, gibt aber schnell ein erstes Bild. Wenn Treffer auftauchen, sollten Sie den Host nicht nur neu herunterladen lassen, sondern beweissichernd und nachvollziehbar weiterarbeiten.
Sofortmaßnahmen: sauber reagieren, ohne Aktionismus
Der wichtigste Punkt: Nicht nur neu installieren. Wenn die trojanisierte Variante ausgeführt wurde, kann bereits ein nachgelagerter Loader oder eine RAT aktiv geworden sein. Die Reihenfolge der Maßnahmen ist deshalb wichtiger als Geschwindigkeit um jeden Preis.
Incident-Response-Reihenfolge
- 1
Betroffene Hosts isolieren und nicht vorschnell bereinigen
Auffällige Systeme risikobasiert vom Netz trennen oder Kommunikation stark einschränken. Artefakte nicht löschen, bevor Log- und Dateisicherung erfolgt ist.
- 2
Dateien, Hashes und Telemetrie sichern
Verdächtige Archive, Installer und insbesondere CRYPTBASE.dll sichern. DNS-, Proxy-, Web- und EDR-Daten für das Download-Zeitfenster ergänzen.
- 3
Zugangsdaten und Sessions priorisiert rotieren
Browser-gespeicherte Credentials, Admin-Zugänge, VPN-Sessions, Passwort-Manager-Logins und lokale Service-Zugänge auf betroffenen Hosts bewerten und bei Bedarf rotieren.
- 4
Saubere Neuverteilung über kontrollierte Pfade
Benötigte Tools nur noch über einen internen, kontrollierten Pfad verteilen, idealerweise mit Hash- oder Signaturprüfung.
Was Unternehmen aus dem CPUID-Vorfall lernen sollten
Der wichtigste Learning ist nicht „Nie wieder CPU-Z“. Das eigentliche Problem ist strukturell: Direkte Einzel-Downloads von Herstellerseiten bleiben in vielen Unternehmen ein blinder Fleck. Gerade kleine Utilities für Diagnose, Remote-Support oder Benchmarks werden häufig außerhalb des klassischen Patch- und Softwareverteilungsprozesses genutzt.
Sinnvolle Gegenmaßnahmen sind deshalb:
- Zentrale Softwarebereitstellung statt ad hoc Downloads durch Endnutzer oder Admins.
- DNS- und Proxy-Logs mit ausreichender Vorhaltezeit, damit kurze Zeitfenster später noch nachvollziehbar sind.
- Hash-, Signatur- oder Paketquellen-Validierung für besonders häufig genutzte Utilities.
- Klare Ausnahmeregeln für Diagnose-Tools auf Admin-Workstations und Werkstattrechnern.
FAQ zum CPUID-Hack und zu trojanisierten CPU-Z-Downloads
Welche CPUID-Produkte waren betroffen?
Waren die Original-Binaries von CPUID kompromittiert?
Reicht es, die Software jetzt einfach neu herunterzuladen?
Worauf sollte ich in Logs und auf Systemen achten?
Quellen & weiterführende Links
- SecurityWeek: CPUID Hacked to Serve Trojanized CPU-Z and HWMonitor DownloadsSecurityWeek, April 2026
- Cybernews: CPUID website hackedCybernews, 10. April 2026
- BleepingComputer: CPUID hacked to deliver malware via CPU-Z, HWMonitor downloadsBleepingComputer, 10. April 2026
- Kaspersky Securelist: CPU-Z / HWMonitor watering hole infectionKaspersky Securelist, 10. April 2026