Alerta de Segurança: Malware STX RAT Oculto em Downloads do CPU-Z e HWMonitor Atinge o Brasil
O mundo da tecnologia e manutenção de computadores foi abalado recentemente por um ataque cibernético sofisticado que comprometeu uma das fontes mais confiáveis de ferramentas de diagnóstico de hardware. Entre os dias 9 e 10 de abril de 2026, o site oficial da CPUID, desenvolvedora de softwares amplamente utilizados como o CPU-Z e o HWMonitor, foi invadido por cibercriminosos. Durante esse período, os usuários que tentaram baixar essas ferramentas foram redirecionados para sites maliciosos que distribuíam versões adulteradas dos programas, contendo um perigoso cavalo de Troia conhecido como STX RAT.
Este incidente levanta sérias preocupações sobre a segurança da cadeia de suprimentos de software e a vulnerabilidade de plataformas estabelecidas. O Brasil, juntamente com a Rússia e a China, foi identificado como um dos países mais afetados por essa campanha maliciosa, destacando a necessidade urgente de conscientização e medidas de proteção por parte dos usuários e empresas brasileiras.
Como o Ataque ao CPUID Aconteceu?
De acordo com análises detalhadas de empresas de segurança cibernética, como a Kaspersky e a eSentire, os invasores conseguiram comprometer uma API secundária do site da CPUID. Essa brecha permitiu que eles alterassem os links de download legítimos, redirecionando os visitantes para domínios controlados pelos criminosos. Os arquivos originais e assinados digitalmente pela CPUID não foram alterados em seus servidores principais, o que demonstra que o ataque foi focado na interceptação do tráfego de download, uma técnica conhecida como Watering Hole Attack.
Os usuários desavisados acabaram baixando arquivos ZIP ou instaladores executáveis que pareciam legítimos. No entanto, esses pacotes continham uma armadilha: além do executável original do CPU-Z ou HWMonitor, havia uma biblioteca de vínculo dinâmico (DLL) maliciosa nomeada como CRYPTBASE.dll. Essa técnica, chamada de DLL Side-loading, explora a forma como o sistema operacional Windows carrega bibliotecas, forçando o programa legítimo a executar o código malicioso de forma oculta.
O Perigo do STX RAT: O Que Ele Pode Fazer?
Uma vez que a DLL maliciosa é carregada, ela realiza uma série de verificações para garantir que não está sendo executada em um ambiente de análise (sandbox) utilizado por pesquisadores de segurança. Após confirmar que está em um sistema de um usuário real, o malware estabelece comunicação com um servidor de Comando e Controle (C2) e baixa a carga útil final: o STX RAT (Remote Access Trojan).
O STX RAT é uma ferramenta de espionagem e controle remoto extremamente poderosa. Ele concede aos cibercriminosos acesso quase total ao computador infectado. Entre suas capacidades, destacam-se:
- Roubo de Informações: Capacidade de extrair credenciais salvas em navegadores da web, dados de preenchimento automático e informações financeiras.
- Controle Remoto (HVNC): Permite que os invasores visualizem e interajam com a área de trabalho do usuário de forma invisível, executando comandos e acessando arquivos como se estivessem sentados em frente ao computador.
- Execução de Códigos: O malware pode baixar e executar arquivos adicionais, scripts do PowerShell e comandos do sistema, facilitando a instalação de outras ameaças, como ransomware.
- Evasão de Defesas: O STX RAT possui mecanismos para desativar ou contornar soluções de antivírus e ferramentas de monitoramento do sistema.
Impacto no Brasil e Vítimas Identificadas
A telemetria de segurança indicou que mais de 150 vítimas foram confirmadas logo nos primeiros dias após o ataque. Embora a maioria seja composta por usuários domésticos e entusiastas de hardware que frequentemente utilizam o CPU-Z para monitorar o desempenho de seus PCs, organizações de diversos setores também foram atingidas. Empresas de varejo, manufatura, consultoria e telecomunicações relataram infecções.
O Brasil figura no topo da lista de países afetados. A popularidade do CPU-Z e do HWMonitor entre os brasileiros, especialmente na comunidade de gamers e profissionais de TI, tornou o país um alvo fácil para a rápida disseminação do malware. A reutilização de infraestrutura de ataques anteriores (como uma campanha falsa do FileZilla em março de 2026) sugere que os criminosos estão focados em maximizar o alcance utilizando iscas de softwares populares.
Como se Proteger e Verificar se Você Foi Infectado
Se você baixou ou atualizou o CPU-Z, HWMonitor, HWMonitor Pro ou PerfMonitor entre os dias 9 e 10 de abril de 2026, é crucial tomar medidas imediatas para garantir a segurança do seu sistema. Aqui estão as recomendações dos especialistas:
- Verifique a Presença da DLL Maliciosa: Procure pelo arquivo CRYPTBASE.dll na mesma pasta onde o executável do CPU-Z ou HWMonitor está instalado. Se encontrar esse arquivo, seu sistema provavelmente está comprometido.
- Execute uma Varredura Completa: Utilize uma solução de antivírus ou EDR (Endpoint Detection and Response) atualizada para realizar uma verredura profunda no sistema. Ferramentas modernas já possuem assinaturas para detectar o STX RAT.
- Altere Suas Senhas: Como o malware tem capacidades de roubo de credenciais, é altamente recomendável alterar as senhas de todas as suas contas importantes, especialmente aquelas salvas no navegador.
- Monitore o Tráfego de Rede: Para empresas, é essencial revisar os logs de DNS em busca de conexões com os domínios maliciosos identificados (como cahayailmukreatif.web.id e transitopalermo.com).
- Baixe Apenas de Fontes Oficiais: A CPUID já corrigiu a vulnerabilidade em seu site. Certifique-se de sempre baixar softwares diretamente dos sites oficiais e, se possível, verifique as assinaturas digitais dos arquivos antes da execução.
A Importância da Vigilância Contínua
O ataque ao site da CPUID serve como um lembrete contundente de que mesmo as ferramentas mais confiáveis podem ser usadas como vetor para a distribuição de malware. A técnica de Watering Hole demonstra a sofisticação dos cibercriminosos, que buscam comprometer pontos de confiança na internet para atingir um grande número de vítimas de forma eficiente.
Manter-se informado sobre as últimas ameaças, utilizar soluções de segurança robustas e adotar práticas de higiene digital são passos fundamentais para navegar com segurança no cenário tecnológico atual. Fique atento às atualizações de segurança e proteja seus dados contra invasões silenciosas como a do STX RAT.
Referências:
- [1] The Hacker News. “CPUID Breach Distributes STX RAT via Trojanized CPU-Z and HWMonitor Downloads”. Disponível em: https://thehackernews.com/2026/04/cpuid-breach-distributes-stx-rat-via.html
- [2] Kaspersky Securelist. “CPU-Z & HWMonitor, cpuid.com, Watering Hole Attack”. Disponível em: https://securelist.com/tr/cpu-z/119365/
Deixe um comentário