Eles hackearam o CPU-Z: você foi infectado?

Tendências Tech

Alerta de Segurança: Malware em Downloads de Software Popular

Recentemente, o ecossistema de segurança digital foi surpreendido por uma falha grave que afetou ferramentas amplamente utilizadas para monitoramento de sistema: o CPU-Z e o Hardware Monitor. Durante um período crítico de 16 horas, entre os dias 9 e 10 de abril, os sites oficiais destas aplicações foram comprometidos, distribuindo versões infectadas com malware tanto através dos instaladores quanto das versões portáteis (.zip).

Como ocorreu o comprometimento?

É importante esclarecer que os desenvolvedores dessas ferramentas não inseriram códigos maliciosos de forma intencional. O incidente foi resultado de uma invasão nos sites oficiais, onde hackers utilizaram um “side API” para redirecionar os downloads para um servidor externo contendo arquivos infectados.

O ataque utilizou técnicas sofisticadas para enganar os usuários:

  • Instaladores infectados: Ao rodar o instalador da versão comprometida, o sistema executava um arquivo nomeado HWiNFO_Monitor_Setup.exe. Um indício claro da fraude era a interface do instalador, que aparecia em russo.
  • DLL Hijacking (Sequestro de DLL): Na versão portátil, os criminosos utilizaram o executável original do CPU-Z, que possuía uma assinatura digital legítima. No entanto, incluíram um arquivo falso chamado cryptbase.dll na mesma pasta.

A técnica de DLL Hijacking explicada

O Windows, por padrão, prioriza a busca de bibliotecas (DLLs) no mesmo diretório do arquivo executável antes de procurar na pasta de sistema. Os atacantes aproveitaram essa funcionalidade: quando o CPU-Z era iniciado, ele carregava a cryptbase.dll maliciosa presente na pasta local, em vez da versão original do sistema. Esse arquivo falso era responsável por baixar um payload viral e iniciar a execução do malware sem que o usuário percebesse.

O que o malware faz?

Análises indicam que se trata de um Trojan de Acesso Remoto (RAT). Isso significa que, uma vez infectado, o invasor ganha controle sobre o computador. O malware é capaz de:

  • Roubar credenciais armazenadas no navegador (como o Google Chrome).
  • Instalar processos persistentes que iniciam automaticamente com o sistema operacional, garantindo que o malware continue ativo mesmo após reinicializações.

Como proceder se você foi afetado?

Se você baixou essas ferramentas durante o período mencionado e notou qualquer comportamento anormal, como o instalador em idioma russo ou a presença do arquivo cryptbase.dll na pasta do programa, o seu computador está comprometido. A recomendação de segurança é drástica, mas necessária:

  1. Desconecte o computador da internet imediatamente.
  2. Faça backup dos arquivos essenciais (documentos, fotos) apenas enquanto estiver offline e utilizando um dispositivo externo limpo.
  3. Formate o drive e realize uma reinstalação limpa do Windows.
  4. Se não se sentir seguro para realizar o procedimento, recorra a um profissional técnico de confiança.

Este caso reforça que, infelizmente, nem sempre baixar software do site oficial é uma garantia total de segurança em ataques de cadeia de suprimentos (supply chain attacks). Manter uma solução de antivírus com proteção em tempo real ativa, que utilize análise comportamental e não apenas assinaturas conhecidas, é uma camada de proteção indispensável hoje em dia.

Perguntas Frequentes

  • O que é DLL Hijacking?
    É uma técnica onde um atacante coloca uma DLL maliciosa no mesmo diretório de um software legítimo, fazendo com que o programa carregue o arquivo falso em vez do original do Windows.
  • Como saber se fui infectado pelo CPU-Z?
    Verifique se houve a instalação do arquivo HWiNFO_Monitor_Setup.exe ou a presença de uma DLL chamada cryptbase.dll na pasta onde o software foi extraído.
  • Por que o antivírus não detectou?
    Como o executável principal era legítimo e assinado, muitas soluções baseadas apenas em assinaturas digitais acabaram ignorando o conteúdo malicioso contido na DLL ou no servidor de redirecionamento.
  • É seguro manter o Windows após a infecção?
    Não. Como o malware cria processos persistentes e oferece acesso remoto ao invasor, a única forma de garantir a eliminação total é realizando uma formatação completa do sistema.

© 2026

política de privacidadetermos de uso