Alerta de Segurança: Malware em Downloads de Software Popular
Recentemente, o ecossistema de segurança digital foi surpreendido por uma falha grave que afetou ferramentas amplamente utilizadas para monitoramento de sistema: o CPU-Z e o Hardware Monitor. Durante um período crítico de 16 horas, entre os dias 9 e 10 de abril, os sites oficiais destas aplicações foram comprometidos, distribuindo versões infectadas com malware tanto através dos instaladores quanto das versões portáteis (.zip).
Como ocorreu o comprometimento?
É importante esclarecer que os desenvolvedores dessas ferramentas não inseriram códigos maliciosos de forma intencional. O incidente foi resultado de uma invasão nos sites oficiais, onde hackers utilizaram um “side API” para redirecionar os downloads para um servidor externo contendo arquivos infectados.
O ataque utilizou técnicas sofisticadas para enganar os usuários:
- Instaladores infectados: Ao rodar o instalador da versão comprometida, o sistema executava um arquivo nomeado HWiNFO_Monitor_Setup.exe. Um indício claro da fraude era a interface do instalador, que aparecia em russo.
- DLL Hijacking (Sequestro de DLL): Na versão portátil, os criminosos utilizaram o executável original do CPU-Z, que possuía uma assinatura digital legítima. No entanto, incluíram um arquivo falso chamado cryptbase.dll na mesma pasta.
A técnica de DLL Hijacking explicada
O Windows, por padrão, prioriza a busca de bibliotecas (DLLs) no mesmo diretório do arquivo executável antes de procurar na pasta de sistema. Os atacantes aproveitaram essa funcionalidade: quando o CPU-Z era iniciado, ele carregava a cryptbase.dll maliciosa presente na pasta local, em vez da versão original do sistema. Esse arquivo falso era responsável por baixar um payload viral e iniciar a execução do malware sem que o usuário percebesse.
O que o malware faz?
Análises indicam que se trata de um Trojan de Acesso Remoto (RAT). Isso significa que, uma vez infectado, o invasor ganha controle sobre o computador. O malware é capaz de:
- Roubar credenciais armazenadas no navegador (como o Google Chrome).
- Instalar processos persistentes que iniciam automaticamente com o sistema operacional, garantindo que o malware continue ativo mesmo após reinicializações.
Como proceder se você foi afetado?
Se você baixou essas ferramentas durante o período mencionado e notou qualquer comportamento anormal, como o instalador em idioma russo ou a presença do arquivo cryptbase.dll na pasta do programa, o seu computador está comprometido. A recomendação de segurança é drástica, mas necessária:
- Desconecte o computador da internet imediatamente.
- Faça backup dos arquivos essenciais (documentos, fotos) apenas enquanto estiver offline e utilizando um dispositivo externo limpo.
- Formate o drive e realize uma reinstalação limpa do Windows.
- Se não se sentir seguro para realizar o procedimento, recorra a um profissional técnico de confiança.
Este caso reforça que, infelizmente, nem sempre baixar software do site oficial é uma garantia total de segurança em ataques de cadeia de suprimentos (supply chain attacks). Manter uma solução de antivírus com proteção em tempo real ativa, que utilize análise comportamental e não apenas assinaturas conhecidas, é uma camada de proteção indispensável hoje em dia.
Perguntas Frequentes
- O que é DLL Hijacking?
É uma técnica onde um atacante coloca uma DLL maliciosa no mesmo diretório de um software legítimo, fazendo com que o programa carregue o arquivo falso em vez do original do Windows. - Como saber se fui infectado pelo CPU-Z?
Verifique se houve a instalação do arquivo HWiNFO_Monitor_Setup.exe ou a presença de uma DLL chamada cryptbase.dll na pasta onde o software foi extraído. - Por que o antivírus não detectou?
Como o executável principal era legítimo e assinado, muitas soluções baseadas apenas em assinaturas digitais acabaram ignorando o conteúdo malicioso contido na DLL ou no servidor de redirecionamento. - É seguro manter o Windows após a infecção?
Não. Como o malware cria processos persistentes e oferece acesso remoto ao invasor, a única forma de garantir a eliminação total é realizando uma formatação completa do sistema.
