Impatto Sistemico

Critico (80.0)

Sintesi

Questo CSIRT ha recentemente rilevato una presunta compromissione dell’infrastruttura di distribuzione del portale CPUID.com, noto produttore di software ampiamente utilizzati in ambiente Windows per attività di diagnostica, monitoraggio e benchmark hardware.

Secondo le informazioni al momento disponibili, attori malevoli avrebbero compromesso il backend del sito, sostituendo i binari legittimi di alcuni software con versioni trojanizzate. L’esecuzione di tali file potrebbe consentire a un attaccante di ottenere accesso con privilegi elevati ai sistemi interessati.

Analisi tecnica

Sulla base degli elementi finora emersi, la compromissione non sembrerebbe riguardare il codice sorgente originale dei software coinvolti, ma il relativo canale di distribuzione, in uno scenario riconducibile a un possibile attacco alla supply chain di tipo web-based (Web-based Supply Chain Attack).

Più nel dettaglio:

• il vettore di attacco sembrerebbe consistere nella sostituzione dei link di download diretti e dei mirror ufficiali;
• i file malevoli sarebbero stati predisposti per apparire identici agli originali sotto il profilo dei metadati, ma conterrebbero routine di offuscamento finalizzate al download e all’esecuzione di ulteriori componenti malevoli, verosimilmente riconducibili a infostealer e backdoor;
• l’assenza di una verifica automatica degli hash SHA-256 da parte dell’utente finale potrebbe aver favorito la diffusione dei file compromessi.

Prodotti e versioni affette

Le ultime versioni legittime note prima della presunta compromissione sarebbero:

• CPU-Z, versione 2.09
• HWMonitor, versione 1.52
• PerfMonitor 2, versione 2.04

Azioni di mitigazione

L’episodio si inserisce in un contesto di crescente attenzione verso la supply chain software , sempre più spesso presa di mira per veicolare codice malevolo attraverso software, componenti o canali di distribuzione apparentemente legittimi. Dinamiche analoghe sono state osservate anche nel recente caso trattato da questo CSIRT nel bollettino di sicurezza BL01/260327/CSIRT-ITA , che ha evidenziato come gli attori malevoli mostrino un interesse crescente verso attacchi multi-stadio alla catena di fornitura del software.

Qualora l’utilizzo di tali strumenti sia indispensabile per esigenze di diagnostica urgenti, si raccomanda esclusivamente l’impiego di versioni scaricate e verificate prima del 9 aprile 2026.

In ogni caso, si raccomanda di:

• verificare l’integrità dei file mediante confronto degli hash, ove disponibili;
• evitare ulteriori download dal portale interessato fino a completo chiarimento della vicenda;
• procedere, sui sistemi sui quali tali file siano già stati scaricati o eseguiti, con attività di controllo, isolamento e analisi, al fine di escludere eventuali compromissioni.

Alla luce di quanto sopra, chiunque abbia scaricato tali software dal sito ufficiale nelle ultime 48-72 ore dovrebbe considerare, in via prudenziale, il sistema interessato come potenzialmente compromesso, fino a esclusione tecnica della compromissione stessa.