Aparılan araşdırmalar əsasında müəyyən edilmişdir ki, məşhur aparat monitorinq alətləri olan CPU-Z və HWMonitor proqramlarının istehsalçısı olan CPUID şirkətinə məxsus rəsmi veb-sayt kiberhücumun hədəfinə çevrilmişdir.
Məlumata əsasən 2026-cı ilin 9 – 10 aprel tarixlərini əhatə edən məhdud zaman intervalında hücumçular veb-saytın arxa infrastrukturunun (backend) bir hissəsini, xüsusilə də əlavə funksionallıq rolunu oynayan “side API” komponentini ələ keçirmişdir. Nəticədə istifadəçilərə təqdim olunan rəsmi yükləmə keçidləri təsadüfi şəkildə zərərli fayllara yönləndirilmişdir.
CPUID tərəfindən verilən rəsmi açıqlamada bildirilmişdir ki, hadisə təxminən 6 saat davam etmiş, lakin proqramların imzalanmış orijinal versiyalarına müdaxilə edilməmişdir. Hücumun təsiri əsasən yükləmə mexanizminin dəyişdirilməsi ilə məhdudlaşmışdır.
İlkin şübhələr istifadəçilər tərəfindən müşahidə edilən anomaliyalar əsasında formalaşmışdır. Belə ki, HWMonitor və CPU-Z proqramlarını yeniləməyə və ya yükləməyə çalışan bəzi istifadəçilər quraşdırıcıların (installer) antivirus proqramları tərəfindən təhlükəli kimi aşkarlanması və ya gözlənilməz adlarla təqdim olunması ilə qarşılaşmışlar. Qeyd olunan nümunələrdən birində HWMonitor 1.63 yeniləməsinin istifadəçiyə “HWiNFO_Monitor_Setup.exe” adlı fayl şəklində təqdim olunduğu bildirilmişdir. Bu isə istifadəçilərin yükləmə prosesinə üçüncü tərəf müdaxiləsinin baş verdiyini anlamasına səbəb olmuşdur.
Araşdırmalar göstərir ki, istifadəçilər tərəfindən yüklənən zərərli fayllar trojanlaşdırılmış quraşdırıcı formasında təqdim edilmiş və bu fayllar daxilində legitim icra olunan fayl ilə yanaşı, “CRYPTBASE.dll” adı altında maskalanmış zərərli dinamik kitabxana yerləşdirilmişdir. Sözügedən mexanizm DLL side-loading texnikası vasitəsilə aktivləşdirilmişdir.
Hücum zamanı istifadə olunan saxta və zərərli domenlər arasında aşağıdakılar qeyd edilmişdir:
Bu domenlər vasitəsilə istifadəçilərə trojanlaşdırılmış ZIP arxivləri və ya ayrıca quraşdırıcı (installer) faylları təqdim edilmişdir.
Texniki analizlər nəticəsində müəyyən edilmişdir ki, zərərli komponentlər uzaq idarəetmə serverləri (C2) ilə əlaqə quraraq əlavə yüklərin (payload) yüklənməsini təmin edir. Bundan əlavə, zərərli proqramın əsasən operativ yaddaşda (in-memory) fəaliyyət göstərməsi onun antivirus və EDR sistemlərindən yayınmasına şərait yaratmışdır. Hücum zamanı PowerShell skriptlərindən geniş istifadə edildiyi müşahidə olunmuşdur.
Məlumatlara əsasən hücumun əsas məqsədi istifadəçilərin məxfi məlumatlarının, xüsusilə də brauzer mühitində saxlanılan autentifikasiya məlumatlarının (şifrələrin) ələ keçirilməsi olmuşdur. Bu çərçivədə zərərli proqramın Google Chrome brauzerininIElevation COM interfeysi ilə qarşılıqlı əlaqə quraraq saxlanılmış şifrələrin deşifrəsini həyata keçirməyə cəhd etdiyi qeyd olunur.
Mütəxəssislərin analizinə görə bu kampaniya daha əvvəl 2026-cı ilin mart ayında FileZilla proqramını hədəf alan oxşar hücum infrastrukturu ilə əlaqəlidir. Bu fakt hücumun planlı və təkrar istifadə edilən texniki bazaya əsaslandığını göstərir.
Bəzi hallarda zərərli yüklər (payload) vasitəsilə STX RAT (Remote Access Trojan) adlı uzaqdan idarəetmə alətinin quraşdırıldığı bildirilmişdir. Sözügedən zərərli proqram hücumçuya sistem üzərində geniş səlahiyyətlər əldə etməyə, əlavə zərərli komponentləri icra etməyə və post-istismar fəaliyyətlərini həyata keçirməyə imkan verir.
Məlumatlara əsasən hadisə nəticəsində 150-dən çox istifadəçinin zərər gördüyü ehtimal olunur. Yoluxma hallarının əsasən fərdi istifadəçilər arasında qeydə alındığı, lakin bəzi təşkilatların da təsirləndiyi bildirilir.
Hazırda CPUID tərəfindən zəiflik aradan qaldırılmış və xidmətlərin fəaliyyəti bərpa edilmişdir. Bununla belə, hadisə təchizat zənciri (supply chain) hücumlarının artan təhlükəsini bir daha nümayiş etdirir. Bu tip hücumlarda proqram təminatının özü deyil, onun paylanma infrastrukturu hədəf alınır.
17 aprel 2026
15 aprel 2026
10 aprel 2026
09 aprel 2026
08 aprel 2026
06 aprel 2026
03 aprel 2026
02 aprel 2026
© 2011-2026 Bütün Hüquqlar Qorunur
