Netcrook Logo
👤 LOGICFALCON
🗓️ 13 Apr 2026  

Sabotaggio furtivo: come i download affidabili di CPUID sono diventati un parco giochi per i cybercriminali

Una breve violazione di CPUID ha lasciato migliaia di persone a rischio, mentre gli aggressori dirottavano popolari strumenti di sistema per distribuire in tutto il mondo un nuovo e potente malware.

Era una tranquilla notte di aprile quando il cuore digitale della comunità dell’hardware per PC è diventato, per un attimo, canaglia. Per poche ore, i visitatori di CPUID - il sito di riferimento per milioni di persone in cerca di diagnostica hardware - stavano inconsapevolmente scaricando più che semplici utility di sistema. Dietro le familiari schermate di installazione si nascondeva un sofisticato Trojan di accesso remoto, segnando un nuovo capitolo negli attacchi alla supply chain che prendono di mira download di software considerati affidabili.

L’anatomia di un attacco alla supply chain di alto profilo

CPUID, lo sviluppatore dietro CPU-Z e HWMonitor, è un punto fermo nella cassetta degli attrezzi di appassionati e professionisti del PC. Questi programmi offrono informazioni approfondite sullo stato di salute e sulle prestazioni dell’hardware - un fatto che non è sfuggito ai cybercriminali in cerca di un’ampia superficie d’attacco. Il 10 aprile, gli aggressori sono riusciti a entrare attraverso una funzionalità web secondaria, sostituendo silenziosamente i link di download con versioni malevole che sembravano e si comportavano come quelle reali.

La finezza tecnica degli aggressori era evidente. Invece di sostituire il software originale, hanno ospitato i loro installer manomessi su domini di terze parti, quindi hanno manipolato il sito di CPUID affinché servisse casualmente questi link malevoli. Gli installer trojanizzati includevano le applicazioni autentiche con un sinistro passeggero clandestino: un file cryptbase.dll alterato. Una volta eseguito, questo file sfruttava una tecnica nota come DLL sideloading, permettendo al malware di superare la maggior parte dei controlli di sicurezza “facendosi trasportare” dal comportamento di software fidati.

Il payload finale era STX RAT - un nuovo ceppo di malware di accesso remoto con un debole per credenziali del browser, wallet di criptovalute e password FTP. Una volta installato, consegnava agli aggressori le chiavi della vita digitale della vittima, il tutto sotto le mentite spoglie di un normale aggiornamento diagnostico.

Le indagini di Kaspersky hanno tracciato le infezioni principalmente in Brasile, Cina e Russia, anche se la portata reale è probabilmente più ampia a causa di punti ciechi regionali. Le vittime spaziavano dagli utenti comuni alle organizzazioni nei settori manifatturiero, telecomunicazioni, retail e agricoltura - sottolineando la natura indiscriminata dell’attacco. Nel frattempo, i ricercatori di Breakglass Intelligence hanno collegato la compromissione a una campagna più ampia che si estende da mesi, con legami a incidenti che hanno coinvolto FileZilla e altri strumenti popolari. Le loro evidenze indicano attori di minaccia russofoni alla regia dell’operazione, forse iniziando l’infiltrazione già il 3 aprile.

Fiducia, minata

Sebbene la finestra della violazione sia stata breve - da sei a diciannove ore a seconda della fonte - il danno si è propagato nell’ecosistema della fiducia che sostiene la distribuzione aperta del software. Per utenti e organizzazioni, l’incidente è un promemoria netto: anche le fonti più autorevoli possono diventare, inconsapevolmente, vettori di minacce sofisticate. Man mano che gli aggressori diventano più audaci e creativi, la vigilanza e una sicurezza a più livelli non sono mai state così cruciali.

TECHCROOK

Per ridurre il rischio di infezioni da installer manomessi e attacchi alla supply chain, una soluzione concreta è Kaspersky Premium, suite di sicurezza per Windows che combina protezione in tempo reale contro trojan e RAT, analisi comportamentale e blocco di attività sospette legate a DLL e processi anomali. Include difese anti-phishing e controllo dei download, utili quando un software legittimo viene distribuito in versione trojanizzata, oltre a strumenti di protezione delle credenziali e monitoraggio delle minacce. È indicato per utenti domestici e piccoli uffici che installano spesso utility di diagnostica o tool di sistema e vogliono un livello aggiuntivo di verifica e contenimento. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

Kaspersky Premium è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

  • Attacco alla supply chain: un attacco alla supply chain è un cyberattacco che compromette fornitori affidabili di software o hardware, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
  • DLL Sideloading: il DLL sideloading si verifica quando gli aggressori ingannano programmi fidati inducendoli a caricare file di supporto (DLL) malevoli al posto di quelli legittimi, abilitando attacchi nascosti.
  • Trojan di accesso remoto (RAT): un Trojan di accesso remoto (RAT) è un malware che consente agli aggressori di controllare segretamente il computer di una vittima da qualsiasi luogo, permettendo furti e attività di spionaggio.
  • Software trojanizzato: il software trojanizzato è un programma legittimo modificato di nascosto per includere malware, infettando gli utenti che lo installano e compromettendone la sicurezza.
  • Attacco Watering Hole: un attacco Watering Hole si verifica quando gli hacker infettano siti web fidati per colpire utenti specifici, diffondendo malware ai visitatori senza che se ne accorgano.
Supply Chain Attack Remote Access Trojan Trojanized Software
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news