Suosittujen CPU-Z:n ja HWMonitorin viralliset latauslinkit kaapattiin, mukana tuli haittaohjelmia
Viimeiset vuodet on verkossa varoiteltu, että ohjelmat pitäisi aina ladata luotetuista latauslähteistä - ja mielellään ohjelman kehittäjien omilta sivuilta.
Mutta aina tämäkään neuvo ei auta.
PC-harrastajien keskuudessa valtavan suosittujen ohjelmien, HWMonitorin ja CPU-Z:n virallinen verkkosivu onnistuttiin kaappaamaan. Molempia ohjelmia kehittää sama yhtiö, CPUID ja molemmat ohjelmat ovat ladattavissa saman sivuston kautta.
Sivuston kaapanneet tekijät eivät tehneet mitään helposti havaittavaa haittaa sivustoille, vaan toimijat muuttivat ainoastaan molempien ohjelmien viralliset latauslinkit osoittamaan väärennettyihin, haittaohjelmia sisältäviin lataustiedostoihin. Asia paljastui, kun ohjelmia ladanneet käyttäjät alkoivat huutelemaan sosiaalisessa mediassa siitä, miten virustorjuntaohjelmistot pillastuivat täysin vasta ladatusta CPU-Z:sta tai HWMonitorista. Osa käyttäjistä otti yhteyttä myös suoraan CPUID:hen.
CPUID onnistui korjaamaan tilanteen kuusi tuntia sen jälkeen, kun sivuston latauslinkit oli muutettu osoittamaan haittaohjelmia sisältäviin asennustiedostoihin. Mutta 9.4.2026 ja 10.4.2026 välisenä aikana jomman kumman ohjelman sen viralliselta sivulta ladanneet käyttäjät ovat saaneet ohjelman mukana kylkiäisiksi myös haittaohjelmia tietokoneelleen. Yhtiön mukaan (linkki vie X/Twitteriin) tapaus johtui CPUID:n API-rajapinnassa olleesta haavoittuvuudesta, jota hyökkääjät onnistuivat hyväksikäyttämään.
Varsinaisia, oikeita asennustiedostoja hyökkääjät eivät onnistuneet millään tavalla muokkaamaan, vaan sen sijaan hyökkäyksessä käyttäjien lataukset ohjattiin osoittamaan muihin kuin virallisiin asennustiedoistoihin - eli sellaisiin, joihin oli yhdistetty mukaan haittaohjelma varsinaisen CPU-Z:n tai HWMonitorin asennustiedoston rinnalle.
Haitallinen asennusohjelma sisälsi väärennetyn CRYPTBASE.DLL -tiedoston, joka naamioitui Windowsin järjestelmäkomponentiksi. Tämä tiedosto otti yhteyttä komentopalvelimeen ja latasi uhrin koneelle lisää haittaohjelmakoodia. Erityisen huolestuttavaa oli, että haittaohjelma pyrki pysymään mahdollisimman paljon pois kovalevyltä ja toimi pääosin tietokoneen käyttömuistissa, hyödyntäen mm. PowerShell-komentoja. Tämän ansiosta se pystyi välttämään monia perinteisiä haittaohjelmien torjuntamenetelmiä.
Ulkopuolisten tekemien analyysien (X/Twitter-linkki) perusteella haittaohjelman ensisijainen tavoite oli varastaa selaimiin - erityisesti Chromeen - tallennettuja käyttäjätunnuksia ja salasanoja. Haittakoodin havaittiin vuorovaikuttavan Chromen rajapinnan kanssa, jotä voidaan käyttää salasanojen purkamiseen ja keräämiseen.
Windowsin oma virustorjunta Windows Defender ja muut yleisimmät virustorjuntaohjelmat havaitsivat haittaohjelman jo, kun sitä yritettiin asentaa. Eli vahinkoa on käynyt lähinnä niiden käyttäjien osalta, jotka ovat päättäneet olla välittämättä virustorjuntaohjelman varoituksista ja asentaneet saastuneen version CPU-Z:a tai HWMonitorista varoituksista huolimatta.
CPUID:n mukaan se ei osaa arvioida, moniko käyttäjä latasi saastuneen asennusohjelman sen sivuilta tuon kuuden tunnin aikana. Mutta mikäli olet asentanut tai päivittänyt jomman kumman ohjelman 9.4. tai 10.4., suositellaan virustorjunnan ajamista tietokoneelle välittömästi.
KOMMENTOI
Haluatko kommentoida tätä artikkelia?
Kirjaudu sisään tai Luo uusi käyttäjätunnus.