Pomiędzy 09.04.2026 a 10.04.2026 strona producenta tych rozwiązań (cpuid.com) przekierowywała żądania pobrania plików do zasobów kontrolowanych przez atakującego, na których znajdowała się zmodyfikowana wersja oprogramowania zawierająca szkodliwy plik CRYPTBASE.dll (normalnie nie występujący w tym oprogramowaniu). Potencjalnie narażone są osoby, które w przeciągu ostatnich 24h instalowały nową wersję bądź aktualizowały to oprogramowanie do najnowszej wersji.
Lista IoC:
cpu-z_2.19-en.zip eff5ece65fb30b21a3ebc1ceb738556b774b452d13e119d5a2bfb489459b4a46
cpu-z_2.19-en.zip 9932fa8d24b3e9a1e39a722fe6e34e75cdd3feb51fcdab67d636d95b4f068935
hwmonitor_1.63.zip 3e791c88d49ac569bc130fc9f41bd7422b4fd24f32458e11e890647478005a7f
hwmonitor_1.63.zip 3d91f442ddc055e19e3710482e1605836c799249dacd43d99843257a3affd2d2
hwmonitor-pro_1.57.zip 1009987fe47573275735cc7a5d47b3b96800366784f4155ac416e70cad80ed34
HWMonitorPro_1.57_Setup.exe 66ad4aaf260a5173d8eaa14db52629fd361add8b772f6a4bcc5c10328f0cc3c0
HWiNFO_Monitor_Setup.exe eefc0f986dd3ea376a4a54f80ce0dc3e6491165aefdd7d5d6005da3892ce248f
CRYPTBASE.dll 49685018878b9a65ced16730a1842281175476ee5c475f608cadf1cdcc2d9524
CRYPTBASE.dll aec12d6547e34206a7213c813e6fb95e70a7f16b13a27dd1c50bd69dbebbefa8
CRYPTBASE.dll 98e0f9c8f5342c1924b3f4c3a7b6b1a566cec326e28b391c47ac7c24f6738dba
C2 hxxps://welcome[.]supp0v3[.]com/d/callback
Malware Hosting hxxps://pub-45c2577dbd174292a02137c18e7b1b5a[.]r2.dev
Zalecamy niezwłoczną weryfikację Państwa systemów pod kątem powyższych wskaźników, a w przypadku ich wykrycia prosimy o jak najszybszy kontakt.