Trang web CPUID của công cụ phát hiện phần cứng nổi tiếng CPU-Z và công cụ giám sát phần cứng của nhà phát triển HWMonitor mới đây đã bị tin tặc tấn công. Tin tặc đã xâm chiếm máy chủ của trang web thông qua các phương pháp không xác định, sau đó hiển thị ngẫu nhiên các liên kết độc hại trên trang web và xúi giục người dùng tải xuống.

112606.png

Ban đầu, người dùng Reddit phát hiện ra sự cố khi cố gắng cập nhật HWMonitor v1.63: CPUID đã cung cấp một tệp rất khó hiểu HWiNFO_Monitor_Setup.exe, tệp này ngay lập tức kích hoạt cảnh báo bảo mật từ Microsoft Defender.

Khi người dùng cho rằng đó là cảnh báo sai và bỏ qua cảnh báo và tiếp tục chạy, trình cài đặt tiếng Nga bất ngờ xuất hiện. Điều này rõ ràng là bất thường nên cư dân mạng đã gián đoạn quá trình cài đặt và đăng lên Reddit để nhắc nhở các cư dân mạng khác chú ý đến vấn đề bảo mật này.

Sau khi nhận được phản hồi liên quan, CPUID đã chính thức xác nhận rằng trang web đã bị hack. Từ ngày 9 đến ngày 10 tháng 4 năm 2026 theo giờ địa phương, trang web đã bị tấn công trong khoảng 6 giờ, nhưng cần điều tra thêm chi tiết và tệp gốc của các ứng dụng liên quan vẫn chưa bị giả mạo.

Cách phần mềm độc hại hoạt động:

Phần mềm độc hại do tin tặc phát tán chứa phần mềm CPU-Z thông thường nhưng tin tặc đã gói một tệp độc hại có tên CRYPTEBASE.dll vào bên trong. Khi người dùng chạy CPU-Z lúc này file độc ​​hại sẽ được nạp vào bộ nhớ.

Khi tệp độc hại bắt đầu chạy, nó sẽ tự động tìm kiếm thông tin xác thực của trình duyệt và có thể gọi PowerShell để nhận thêm hướng dẫn từ máy chủ C2, bao gồm cả việc cố gắng giải mã các mật khẩu tài khoản khác nhau được trình duyệt Chrome lưu cục bộ.

CPUID API phụ trợ trang web được kiểm soát:

Từ phân tích hiện tại, hacker kiểm soát API phụ trợ trên trang web CPUID theo một cách nào đó, cho phép hacker giả mạo liên kết tải xuống mà không cần chạm vào máy chủ mã nguồn, CPUID Bản thân phần mềm liên quan chưa có bị giả mạo. Tin tặc chủ yếu thay thế liên kết tải xuống bằng địa chỉ của chương trình độc hại.

Xét đến mức độ độc hại của các tệp độc hại này, người dùng đã tải xuống và cài đặt CPU-Z và HWMonitor từ trang web chính thức của CPUID từ ngày 9 đến ngày 11 tháng 4 năm 2026 nên trực tiếp cài đặt lại hệ thống, đồng thời sửa đổi các mật khẩu tài khoản khác nhau để đảm bảo an toàn.

Ngoài ra, đối với các phiên mạng có thể đăng xuất (chẳng hạn như trạng thái đăng nhập trình duyệt Chrome), bạn nên đăng xuất trực tiếp khỏi phiên, điều này có thể buộc mọi mã thông báo bị đánh cắp trở nên không hợp lệ và cải thiện tính bảo mật.