تعرض موقع CPUID، المطور لأداة الكشف عن الأجهزة المعروفة CPU-Z وأداة مراقبة الأجهزة HWMonitor، لهجوم مؤخرًا من قبل قراصنة. وقام المتسللون بغزو خادم الموقع عبر وسائل غير معروفة، ثم عرضوا بشكل عشوائي روابط ضارة على الموقع وحثوا المستخدمين على تنزيلها.

112606.png

في البداية، اكتشف مستخدمو Reddit مشكلة عند محاولة تحديث HWMonitor v1.63: قدم CPUID ملفًا محيرًا للغاية HWiNFO_Monitor_Setup.exe، مما أدى على الفور إلى إطلاق تحذير أمني من Microsoft Defender.

عندما اعتقد المستخدم أنه إنذار كاذب وتجاهل التحذير واستمر في التشغيل، ظهر برنامج التثبيت الروسي بشكل غير متوقع. من الواضح أن هذا كان غير طبيعي، لذلك قاطع مستخدم الإنترنت التثبيت ونشره على Reddit لتذكير مستخدمي الإنترنت الآخرين بالانتباه إلى هذه المشكلة الأمنية.

بعد تلقي التعليقات ذات الصلة، أكدت CPUID رسميًا أن الموقع قد تم اختراقه. وفي الفترة من 9 إلى 10 أبريل 2026 بالتوقيت المحلي، تم اختراق الموقع لمدة 6 ساعات تقريبًا. ومع ذلك، هناك حاجة إلى مزيد من التفاصيل، ولم يتم التلاعب بالملفات الأصلية للتطبيقات ذات الصلة.

كيف تعمل البرامج الضارة:

تحتوي البرامج الضارة التي يرسلها المتسللون على برنامج CPU-Z عادي، لكن المتسللين يجمعون ملفًا ضارًا يسمى CRYPTEBASE.dll بداخله، والذي يتم تحميله في الذاكرة عندما يقوم المستخدم بتشغيل CPU-Z.

عندما يبدأ تشغيل الملف الضار، فإنه سيبحث تلقائيًا عن بيانات اعتماد المتصفح، ويمكنه الاتصال بـ PowerShell للحصول على مزيد من التعليمات من خادم C2، بما في ذلك محاولة فك تشفير كلمات مرور الحساب المختلفة المحفوظة محليًا بواسطة متصفح Chrome.

يتم التحكم في واجهة برمجة التطبيقات المساعدة لموقع الويب CPUID من خلال:

انطلاقًا من التحليل الحالي، يتحكم المتسللون في واجهة برمجة التطبيقات المساعدة على موقع CPUID بطريقة ما، مما يسمح للمتسلل بالتلاعب برابط التنزيل دون لمس خادم الكود المصدري. لم يتم العبث بالبرنامج المتعلق بـ CPUID نفسه. يقوم المتسلل بشكل أساسي باستبدال رابط التنزيل بعنوان البرنامج الضار.

وبالنظر إلى ضرر هذه الملفات الضارة، فمن المستحسن أن يقوم المستخدمون الذين قاموا بتنزيل وتثبيت CPU-Z وHWMonitor من الموقع الرسمي لـ CPUID في الفترة من 9 إلى 11 أبريل 2026، بإعادة تثبيت النظام مباشرة، وفي نفس الوقت تعديل كلمات مرور الحساب المختلفة لضمان السلامة.

بالإضافة إلى ذلك، بالنسبة لجلسات الشبكة التي يمكن تسجيل الخروج منها (مثل حالة تسجيل الدخول إلى متصفح Chrome)، يوصى بتسجيل الخروج من الجلسة مباشرة، مما قد يؤدي إلى انتهاء صلاحية أي رموز مميزة مسروقة وتحسين الأمان.