преди 23 минути, B-boy/StyLe/ написа:

Ако някой още не е разбрал вчера се установи компрометиране на сайта на HWmonitor.

https://www.reddit.com/r/pcmasterrace/comments/1sh4e5l/comment/ofa2w5

Оригиналните сайтове за download предлагат чисти версии (сега май въобще не работи сайта)

Оригиналния линк е чист hXXps://www.cpuid.com/downloads/hwmonitor/hwmonitor_1.63.exe

но снощи главната страница пренасочваше към похитена версия:

hXXps://pub-45c2577dbd174292a02137c18e7b1b5a.r2.dev/hwmonitor/HWiNFO_Monitor_Setup.exe

Резултатите от VirusTotal:

https://www.virustotal.com/gui/file/eefc0f986dd3ea376a4a54f80ce0dc3e6491165aefdd7d5d6005da3892ce248f

Може би е таргетирана атака подобно на тази за Notepad++ преди време. Коментира се, че и CPU-Z е бил засегнат.

Може би атаките са подобни на тези описани в блога на Malwarebytes:

Malwarebytes

A fake FileZilla site hosts a malicious download

A tampered copy of FileZilla quietly contacts attacker-controlled servers using encrypted DNS traffic that can slip past traditional monitoring.

Ако @Лудият Учен и останалите от темата за подпомагането искат файла. Имам го. В карантината на Касперски.

Засечен, е cryptbase.dll от архива като UDS:Backdoor.Win64.Alien.de.

Ако скоро сте сваляли и обновявали до версия 1.63 е желателно да проверите системите си за буби. Версията е била обновена на 03.04.2026.

Жоре, привет...Дай го, да го видим това файлче... Поздрави !!!

@B-boy/StyLe/ ,Жоре ,ако това е файлът,това са резултатите,които Bitdefender дава...

преди 3 часа, B-boy/StyLe/ написа:

Оригиналния линк е чист hXXps://www.cpuid.com/downloads/hwmonitor/hwmonitor_1.63.exe

Да, аз съм го свалял на 3.4.2026 от HWMONITOR | Softwares | CPUID и В момента Virustotal го дава чист > VirusTotal - URL

преди 1 минута, Joss Bomon написа:

Да, аз съм го свалял на 3.4.2026 от HWMONITOR | Softwares | CPUID и В момента Virustotal го дава чист > VirusTotal - URL

Имал си късмет явно. Или атаката е станала след 3-ти. Иначе сега вече линковете са чисти. Админа е поправил явно щетите. Но преди 15 часа до преди няколко часа линковете бълваха заразената версия.

Новият модел Claude Mythos на Anthropic самостоятелно откри хиляди zero‑day уязвимости
https://software.kaminata.net/it-novini/noviat-model-claude-mythos-na-anthropic-otkri-hilyadi-zero-day-uyazvimosti-samostoyatelno/

Разкрита е схема за изтичане на съобщения от WhatsApp
https://www.segabg.com/hot/category-technologies/razkrita-e-shema-za-iztichane-na-suobshteniya-whatsapp

на 10.04.2026 г. в 10:12, B-boy/StyLe/ написа:

Ако някой още не е разбрал вчера се установи компрометиране на сайта на HWmonitor.

https://www.reddit.com/r/pcmasterrace/comments/1sh4e5l/comment/ofa2w5

Оригиналните сайтове за download предлагат чисти версии (сега май въобще не работи сайта)

Малко по темата: https://www.youtube.com/watch?v=E4HbH2Ic7nA

WordPress plugins taken offline after a developer found 30 injected with malicious code

https://cybernews.com/security/wordpress-essential-plugins-injected-malicious-code/

Уязвимост в Microsoft Defender позволява на атакуващи да получат администраторски достъп
https://software.kaminata.net/it-novini/uyazvimost-v-microsoft-defender-pozvolyava-na-atakuvashti-da-poluchat-administratorski-dostap/

преди 9 минути, цър-вул написа:

Уязвимост в Microsoft Defender позволява на атакуващи да получат администраторски достъп
https://software.kaminata.net/it-novini/uyazvimost-v-microsoft-defender-pozvolyava-na-atakuvashti-da-poluchat-administratorski-dostap/

Интересно, но не и неочаквано. Причината да не долюбвам вградения помощник. Това, че е вграден си има и плюсове и минуси. Иначе тук има малко повече детайли. Мерси за hint-a.

RedSun: Windows 0day when Defender becomes the attacker |...

RedSun exposes a critical logic flaw in Windows Defender that allows a standard user to escalate privileges to SYSTEM without admin rights or kernel exploits. By exploiting a missing reparse point val

Ние вече имахме атака използваща Junction Point срещу Windows Defender през 2014-та от rootkit-a ZeroAccess. Така се роди командата за FRST

DeleteJunctionsInDirectory:

https://www.bleepingcomputer.com/forums/t/550569/zero-access-malwarevirustrojan/page-2

И още по-въпроса:

https://thehackernews.com/2026/04/three-microsoft-defender-zero-days.html

Колега в reddit (rifteyy_) е написал анализ за рискови модове за GTA V

TamperedChef's within GTA V/FiveM modding community

https://rifteyy.org/report/tamperedchef-within-gta-v-modding-community

Фишинг кампания чрез SMS съобщения, имитиращи Спиди

Едно събитие организирано от BLEEPING. На който му е интересно да се запише:

From noise to signal: What threat actors are targeting next

https://event.on24.com/wcc/r/5288912/5B403444F8B4CD3EE6CF5FD3E584C947

VECT 2.0 Ransomware Irreversibly Destroys Files Over 131KB on Windows, Linux, ESXi

https://thehackernews.com/2026/04/vect-20-ransomware-irreversibly.html

Decades-old pre-Stuxnet cyber sabotage tool breaks cover, NSA listed it as 'nothing to see here' — fast16 targeted nuclear reactors, dam design, and other high-precision civil engineering software years before Stuxnet broke cover

https://www.tomshardware.com/software/security-software/decades-old-pre-stuxnet-cyber-sabotage-tool-breaks-cover-nsa-listed-it-as-nothing-to-see-here-fast16-targeted-nuclear-reactors-dam-design-and-other-high-precision-civil-engineering-software-years-before-stuxnet-broke-cover

Преди време беше HWMonitor...сега и Daemon Tools Lite под ножа:

Securelist

Popular DAEMON Tools software compromised

Targeted by threat actors: individuals and organizations across 100+ countries and territories, with the majority of victims located in Russia, Brazil, Turkey, Spain, Germany, France, Italy, and China

Ако трябва да съм честен и аз го ползвам и обновявам често. Предимно има вграден adware от BrightVPN, който е добре да не се трие, защото интерфейса иначе не работи. Ползвам версията от доста време, но като гледам и атаката е от доста време. Днес обаче Касперски изрева за изпълнимия файл и за всеки случай го деинсталирах и изтрих остатъците. Проверки с 4 скенера не откриват проблеми при мен, няма и опити за хакване на акаунти и прочие. Довечера ще си пусна една диагностика с FRST и ще сменя паролите за всеки случай. Но все пак имайте едно наум. Иначе LAT2 е безопасна програма на един колега за автоматичен анализ на FRST логове. Process Hacker-a е ясен.

За щастие моя хеш не го намирам в статията: D2C4C61684C26BEE09782227F81B1C16, но го има в malwarebazaar.

Страшно си е. Наскоро освен HWMonitor/CPU-Z, бяха хакнати и сайтовете на Notepad++ и сега на Daemon Tools Lite...

Ето го и файла в malwarebazaar:

https://bazaar.abuse.ch/sample/da1a51b7022d8e726de981fcdb364096e90a8134dd380f9d76c4c20fea701836/

Добре, че държах DiscSoftBusServiceLite.exe в блокирани изходящи и входящи връзки...

Сега явно дойде ред на JDownlader. Какво се случва не е ясно...но май за известно време е добре човек да не обновява програмите си.

https://www.reddit.com/r/DataHoarder/comments/1t6ihtf/jdownloader2_site_just_confirmed_to_be_compromised/

https://www.reddit.com/r/jdownloader/comments/1t6goqe/is_the_website_hacked/

New TCLBanker malware self-spreads over WhatsApp and Outlook

BleepingComputer

New TCLBanker malware self-spreads over WhatsApp and Outlook

A new trojan named TCLBanker, which targets 59 banking, fintech, and cryptocurrency platforms, uses a trojanized MSI installer for Logitech AI Prompt Builder to infect systems.

Turla Turns Kazuar Backdoor Into Modular P2P Botnet for Persistent Access

The Hacker News

Turla Turns Kazuar Backdoor Into Modular P2P Botnet for P...

Turla turns Kazuar into a 3-module P2P botnet, enabling stealthy C2, resilient tasking, and persistent access.

Уязвимостта в Chromium прави браузъра хост на ботнет

https://www.comss.ru/page.php?id=20679

Microsoft warns of new Defender zero-days exploited in attacks

BleepingComputer

Microsoft warns of new Defender zero-days exploited in at...

On Wednesday, Microsoft started rolling out security patches for two Defender vulnerabilities that have been exploited in zero-day attacks.

Обновете си Windows Defender-a. В новите версии пролуките са запушени:

Microsoft предизвиква буря след заплахи към изследовател по сигурността

Microsoft has identified a npm supply chain compromise impacting 90+ redhat-cloud-services/* packages

Какво се случва....с тези supply chain атаки в днешно време. Дори от официалните хранилища вече нищо не е безопасно!

https://xcancel.com/MsftSecIntel/status/2061485730958848188

Weedhack Attacks Minecraft Users, CountLoader Hits 86K, Miners Spread via Pirated Content

The Hacker News

Weedhack Attacks Minecraft Users, CountLoader Hits 86K, M...

Weedhack malware targets Minecraft players via YouTube and SEO poisoning since Jan 2026, enabling credential theft and remote access.

Това не е толкова неочаквано и все пак преди в пиратските версии заразите бяха доста по-малко. Явно някой сега плаща за компрометирането им след като Денуво защитата беше пробита (заобиколена). Явно сега битката е на друго ниво.

AI-built ransomware toolkit automates EDR evasion, AD discovery

BleepingComputer

AI-built ransomware toolkit automates EDR evasion, AD dis...

A threat actor is using an AI-built ransomware attack toolkit that automates Active Directory discovery and helps evade endpoint detection and response (EDR) solutions.

Нищо неочаквано, но все пак явно заразите ще стават все по-сложни с този AI.