Cảnh báo khẩn cấp: Website chính thức của CPU-Z và HWMonitor bị tấn công, phát tán phần mềm độc hại

Cộng đồng người dùng PC vừa được giật mình bởi một cảnh báo bảo mật nghiêm trọng liên quan đến hai công cụ phần mềm phổ biến nhất thế giới: CPU-Z và HWMonitor. Website chính thức của nhà phát triển CPUID dường như đã bị tin tặc tấn công, thay đổi các liên kết tải xuống để phát tán phần mềm độc hại (malware) cho người dùng.

Vụ việc được phát hiện đầu tiên bởi một người dùng trên diễn đàn Reddit. Khi cố gắng cập nhật HWMonitor từ phiên bản 1.42 lên 1.63 thông qua tính năng update tích hợp trong ứng dụng, người dùng này đã được dẫn đến trang chủ của CPUID. Tuy nhiên, tệp tải về có tên lạ là "HWiNFO_Monitor_Setup.exe" (một tên gọi của phần mềm khác) và kích hoạt một trình cài đặt hoàn toàn bằng tiếng Nga.

Cảnh báo từ cộng đồng người dùng về phần mềm độc hại

Ngay lập tức, Windows Defender đã phát hiện và chặn tệp này với cảnh báo về virus. Mặc dù vậy, nhiều người dùng có thói quen bỏ qua các cảnh báo của antivirus vì nghĩ đó là báo động giả (false positive) đối với các công cụ kỹ thuật, có thể đã vô tình kích hoạt mã độc.

Chi tiết của cuộc tấn công chuỗi cung ứng

Theo phân tích từ các chuyên gia kỹ thuật, các liên kết tải xuống trên trang cpuid.com đã bị sửa đổi để chuyển hướng người dùng đến các máy chủ lưu trữ bên ngoài (sử dụng dịch vụ Cloudflare R2) thay vì máy chủ chính thức của CPUID.

"Website đã bị hack là giải thích đơn giản nhất. Tệp tin được xây dựng với một phiên bản InnoSetup đã bị tùy chỉnh, thường được sử dụng bởi malware, khiến việc giải mã nội dung trở nên khó khăn," — một thành viên trên Reddit nhận định.

Đáng lo ngại hơn, cuộc tấn công này không chỉ nhắm vào HWMonitor mà còn ảnh hưởng đến cả CPU-Z. Các tệp độc hại được đặt tên để đánh lừa người dùng, thậm chí sử dụng tên của một phần mềm giám sát phần cứng khác là HWiNFO để gây nhầm lẫn.

Phản ứng từ nhà phát triển

Sam, một thành viên của đội ngũ phát triển CPUID, đã nhanh chóng lên tiếng xác nhận sự cố. Ông cho biết nhóm phát triển đã phát hiện lỗ hổng, khôi phục lại các liên kết tải về đúng và đặt máy chủ ở chế độ chỉ đọc (read-only) trong khi quá trình điều tra vẫn đang diễn ra.

"Chúng tôi đã tìm thấy lỗ hổng lớn nhất, khôi phục các liên kết và đặt mọi thứ ở chế độ chỉ đọc cho đến khi điều tra thêm. Có vẻ kẻ tấn công đã chờ đợi khi người phụ trách chính vắng mặt," Sam chia sẻ.

Đồng thời, cộng đồng cũng đã báo cáo các tên miền chứa mã độc lên Cloudflare, và công ty này đã nhanh chóng hạn chế truy cập vào các tệp tin nguy hiểm đó.

Lời khuyên cho người dùng Việt Nam

Đây là một bài học đắt giá về an toàn thông tin, ngay cả khi tải phần mềm từ các website uy tín lâu năm. Nếu bạn đã tải và cài đặt CPU-Z hoặc HWMonitor trong vài ngày qua, hãy thực hiện ngay các bước sau:

1. Kiểm tra lại tệp tin: Nếu tệp bạn tải về có tên lạ (ví dụ: chứa chữ "HWiNFO" khi bạn tải HWMonitor) hoặc trình cài đặt hiện thị tiếng Nga, khả năng cao máy tính của bạn đã bị nhiễm.
2. Quét virus: Sử dụng Windows Defender hoặc Malwarebytes để quét toàn bộ hệ thống. Tải tệp nghi ngờ lên VirusTotal để kiểm tra.
3. Cài đặt lại Windows: Nếu bạn đã chạy tệp cài đặt độc hại, biện pháp an toàn nhất là sao lưu dữ liệu quan trọng và cài đặt lại (format) Windows để loại bỏ hoàn toàn các mã độc có thể ẩn sâu.
4. Đổi mật khẩu: Nếu nghi ngờ thông tin bị đánh cắp, hãy thay đổi mật khẩu cho các tài khoản email, ngân hàng và mạng xã hội ngay lập tức trên một thiết bị khác.

Hiện tại, các liên kết trên website chính thức đã được khôi phục lại trạng thái an toàn, nhưng người dùng vẫn nên đề phòng trong các bản cập nhật sắp tới.