CPU-Z und HWMonitor: Malware über offizielle CPUID-Website verbreitet

Wer kürzlich CPU-Z oder HWMonitor heruntergeladen hat, könnte sich eine Malware eingefangen haben. Auf der CPUID-Website wurden falsche Links eingeschleust.

10. April 2026 um 12:45 Uhr / Marc Stöckel

7 Kommentare Auf Google folgen (öffnet im neuen Fenster)

Ein Angreifer hat mit Malware verseuchte Versionen von CPU-Z und HWMonitor in Umlauf gebracht. (Bild: pexels.com / Lucas Andrade) — Ein Angreifer hat mit Malware verseuchte Versionen von CPU-Z und HWMonitor in Umlauf gebracht. Bild: pexels.com / Lucas Andrade

Einem Angreifer ist es offenbar gelungen, die offizielle Webseite von CPUID, dem Entwickler der beliebten Monitoring- und Systemtools CPU-Z und HWMonitor, zu kompromittieren und darüber Schadsoftware in Umlauf zu bringen. Der Tech-Youtuber Chris Titus Tech warnte in einem X-Beitrag(öffnet im neuen Fenster) als Erster vor dem Angriff. Inzwischen gibt es aber auch eine erste Analyse von den Malware-Experten von VX-Underground.

Die Malware soll mittlerweile von der Webseite entfernt worden sein. Nach aktuellen Erkenntnissen war sie dort für rund sechs Stunden verfügbar. Wer also in den frühen Morgenstunden des 10. April CPU-Z oder HWMonitor herunterlud, sollte davon ausgehen, eine kompromittierte Version erhalten zu haben.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Workshops und Weiterbildungen: Effiziente Containerverwaltung mit Kubernetes

zum Artikel

Karriere Ratgeber: Homeoffice-Snitching: Microsoft Teams trackt Standort über WLAN ab Dezember 2025

zum Ratgeber

Seminar: Barrierefreiheit – BFSG, WCAG & Co: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Linux Administration – Komplettpaket zur Vorbereitung auf die LFCS-Zertifizierung (E-Learning Paket mit 5 Kursen inkl. Bonuskurs)

zum Kurs

Laut VX-Underground(öffnet im neuen Fenster) scheint ein Profi am Werk gewesen zu sein, der "sich wirklich Gedanken über die Umgehung von Sicherheitsmaßnahmen gemacht und bei der Entwicklung der Malware kluge Entscheidungen getroffen" habe. Die Schadsoftware soll darauf ausgelegt sein, Daten zu sammeln und auszuleiten, allen voran in Webbrowsern gespeicherte Anmeldeinformationen.

DLL-Datei lädt Schadcode nach

Den Angaben zufolge sind sowohl die regulären Installationspakete als auch die Portable-Versionen von CPU-Z und HWMonitor betroffen. Diese lieferten wohl jeweils eine manipulierte Version der regulär in Windows enthaltenen Verschlüsselungsbibliothek Cryptbase.dll mit. Darin enthaltener Code wird genutzt, um einen Server des Angreifers zu kontaktieren und weiteren Schadcode nachzuladen.

Die Malware soll auch Funktionen enthalten, die sie vor einer möglichen Analyse schützen. Laut VX-Underground sucht sie dafür unter anderem nach bestimmten Registrierungsschlüsseln, um zu erkennen, ob die Schadsoftware beispielsweise in einer Virtualbox-VM ausgeführt wird.

Viele Details sind zum Angriff auf das Webportal von CPUID noch nicht bekannt. Laut einer auf X kursierenden Stellungnahme(öffnet im neuen Fenster) untersucht der Entwickler den Vorfall noch. Der Angreifer soll wohl über eine API die Downloadlinks für CPU-Z und HWMonitor ausgetauscht haben. CPUID soll aber bereits eine Korrektur implementiert haben.

Zur Startseite 7 Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

DLL-Datei lädt Schadcode nach

Relevante Themen