Downloads van HWmonitor en CPU-Z lijken geïnfecteerd met malware

De nieuwste versies van hardwaremonitortools HWmonitor en CPU-Z lijken geïnfecteerd te zijn met informatiestelende malware. Het lijkt erop dat de site van CPU ID is gehackt. De site is inmiddels offline.

De officiële downloads van HWmonitor 1.63 en CPU-Z 2.19 op cpuid.com linken sinds vannacht naar malware, meldt datasecurityplatform VX Underground. Op Reddit merken gebruikers op dat de download van HWmonitor een installer genaamd HWiNFO_Monitor_Setup.exe creëert, terwijl de installer normaliter hwmonitor_1.63.exe heet. Bij het starten van het exe-bestand zou bovendien een Russisch installeerprogramma worden geopend.

VX Underground meldt dat het om een vernuftige payload gaat, die vermoedelijk als doel heeft om data van slachtoffers te stelen, voornamelijk opgeslagen browsergegevens. De malware probeert het masterwachtwoord van de browser te ontcijferen, om vervolgens gevoelige informatie te kunnen stelen.

Het securityplatform stelt dat een onbekende groep cybercriminelen de site van CPU ID heeft gehackt. Het lijkt te gaan om dezelfde groep die vorige maand de downloadlink van FileZilla compromitteerde. CPU ID heeft niet gereageerd op de vermoedelijke hack, maar wel is de site op het moment van schrijven onbereikbaar.

CPU-Z malware

Door Kevin Krikhaar

Redacteur

Feedback • 10-04-2026 10:00
59 • submitter: EsDeKa

10-04-2026 • 10:00

59

Submitter: EsDeKa

Lees meer

NCSC waarschuwt voor malvertising via Manualfinder en pdf-bewerkers
NCSC waarschuwt voor malvertising via Manualfinder en pdf-bewerkers Nieuws van 30 augustus 2025
CPU-Z krijgt ondersteuning voor RX 9060 XT-, RTX 5060- en RTX 5050-gpu's
CPU-Z krijgt ondersteuning voor RX 9060 XT-, RTX 5060- en RTX 5050-gpu's Nieuws van 7 juli 2025
CPU-Z voor Arm64-architectuur is uit
CPU-Z voor Arm64-architectuur is uit Nieuws van 19 januari 2024
Beveiliging en antivirus CPU-Z Hack Malware

Reacties (59)

-Moderatie-faq
59
58
33
1
0
21
Wijzig sortering

Sorteer op:

Weergave:
XpanD 10 april 2026 10:13
Tip voor iedereen die zich zorgen maakt over dit soort aanvallen, of vage executables in het algemeen: https://www.virustotal.com/ (drag & drop)

Werkt niet voor hele grote bestanden, maar vaak een prima extra laag bescherming voordat je een gedownload bestand daadwerkelijk uitvoert.

(al is het wel de vraag in hoeverre dit werkt bij aanvallers die echt weten wat ze doen)

[Reactie gewijzigd door XpanD op 10 april 2026 11:00]

Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@XpanD10 april 2026 10:43
Tip voor iedereen die zich zorgen maakt over dit soort aanvallen, of vage executables in het algemeen: https://www.virustotal.com/ (drag & drop)
Dat is een goede tip maar zeker niet fool proof. Malware ontwikkelaars gebruiken dit soort oplossingen ook om er zeker van te zijn dat de "grote" virusscanners hun gepackte malware niet detecteren. Het blijft een kat en muisspel.
Reageer
Anonymoussaurus @Bor10 april 2026 10:59
Maar in dit geval heeft het dus wél geholpen, de Reddit-gebruiker heeft hier namelijk naar gelinkt: https://www.virustotal.com/gui/file/eefc0f986dd3ea376a4a54f80ce0dc3e6491165aefdd7d5d6005da3892ce248f
Reageer
XpanD @Bor10 april 2026 11:02
Klopt, heb ondertussen een kleine kanttekening toegevoegd. Het originele bericht was misschien iets te positief.
Reageer
oef! @XpanD10 april 2026 10:21
De meeste mensen zullen Windows Defender (hopelijk) hebben draaien op hun pc, ook een virusscanner. Zo'n site kan handig zijn maar het is nog maar de vraag of zoiets als dit gedetecteerd wordt.
Reageer
XpanD @oef!10 april 2026 10:39
Het mooie aan VirusTotal is dat je een bestand door een enorme lading scanners tegelijk heen haalt, allemaal met hun eigen heuristics en dergelijke. Ze hebben het niet altijd goed (je ziet bijna altijd wel één of twee verkeerde detecties), maar als er in één keer een hoop scanners tegelijk aangeven dat ze het niet vertrouwen dan is er waarschijnlijk wel meer aan de hand.

(en dan kan je bijvoorbeeld een oudere versie van een andere site proberen om te vergelijken)
Reageer
Marctraider @XpanD10 april 2026 13:42
Yup. Gebruik ik altijd, zelfs voor 'legit' sites. Je weet het maar nooit.


Ik schakel Windows Defender eigenlijk altijd uit op al mijn systemen, en ik heb een up-to-date vitual machine als dedicated virus scanner over netwerk.


Op dit moment handmatig, maar ik ga even kijken of ik dit niet kan automatiseren voor bepaalde download directories over het netwerk voor mijn systemen (Torrent folders, browser download folders) en laten triggeren bij veranderingen.

Iig weer een 'layer' erbij.

[Reactie gewijzigd door Marctraider op 10 april 2026 13:45]

Reageer
henkjobse 10 april 2026 10:03
Pff vroeger was het adagium zsm updaten om veilig te blijven, maar het lijkt er op dat het tegenwoordig eerder beter is om juist niet (snel) te updaten.
Reageer
nzall @henkjobse10 april 2026 10:13
Niet alleen voor veilig te blijven. Ook voor de stabiliteit van je PC kun je doorgaans beter een paar dagen wachten met updates installeren, ook voor Windows of je drivers... Maar dat heeft dan eerder te maken met slecht geschreven updates dan met malafide updates.
Reageer
FerronN @nzall10 april 2026 10:17
Het is een lastige balans. Want snel updaten is vandaag de dag belangrijker dan ooit gezien de snelle ontdekking en toepassen van zero days.

Vooral omdat LLMs zeer goed worden in bugs vinden en exploits schrijven:

YouTube: Nicholas Carlini - Black-hat LLMs | [un]prompted 2026
Reageer
sebastienbo @FerronN10 april 2026 10:42
Persoonlijk maak ik geen gebruik meer van kleine tools of chromeplugins, ik heb gewoon met Google AI studio dezelfde tools nagemaakt, nu werken ze 100% zoals ik het wil en zonder spyware of malware.
Het is echt heel eenovudig geworden om zo een tools zelf te maken zonder één lijn code te moeten bekijken. Ik gebruik dus de LLm's om mijn eigen versie van die tools of extension te maken.


4 maand geleden was dat allemaal nog onmogelijk (tenzij je er veel tijd instak) dat is nu niet meer het geval.Vaak kost het mij maar 2 of 3 prompts voor dat ik een kleine tool nagemaakt heb.
Voor een AI planner te maken had ik 3 dagen nodig, maar nu heb ik exact wat ik wil.

[Reactie gewijzigd door sebastienbo op 10 april 2026 10:45]

Reageer
b12e @sebastienbo10 april 2026 10:55
Het probleem is dat je die tools die je zelf niet hebt geschreven ook up-to-date moet houden, en ook daar kunnen uiteindelijk exploits in zitten, al is het maar door een dependency van een derde partij. Chrome update iets en verwijdert een API? Dan mag je je plugin gaan bijwerken. Nieuwe manifestversie? Idem.

Zelf alles bouwen met AI is makkelijk. Het daarna ook onderhouden iets minder (want dat vereist natuurlijk dat je daar aandacht aan schenkt). En des te meer je bouwt, des te meer je moet onderhouden.

De 'corporate' wereld heeft daar ook enorm veel last van, en dat is al zo lang als er computers worden gebruikt in bedrijven. Hoe lang waren er interne systemen die 'enkel met Internet Explorer 6' werkten? IE 7 had een compatibility modus, tot zover dat werkte. Dat heeft jaren geduurd vooraleer bij sommige bedrijven interne applicaties met moderne browsers werkten.
Reageer
wiseger @sebastienbo10 april 2026 11:33
Je maakt nog steeds gebruik van kleine tools alleen heb je er een eigen wrapper omheen laten maken waardoor je het niet meer ziet.

Ga je code maar eens inhoudelijk bekijken en zie hoeveel code er van externe libraries gebruikt wordt. Als één van die libraries geïnfecteerd is met malware dan is jouw eigen tool ook geïnfecteerd met malware.
Reageer
Ischium @sebastienbo10 april 2026 12:33
Helaas is dat niet de garantie dat er niet mee gesjoemeld kan worden. Hackers gaan uiteraard ook op zoek naar kwetsbaarheden in- en manieren om vibe-coding te manipuleren van buiten af. Een voorbeeld hiervan is Slop-Squatting.
Reageer
Overheid @Ischium10 april 2026 13:32
Gezien de trainingsdata van het scrapen van websites (oa. Github) op het internet komt voor bijna alle modellen, komt slechte code en eventueel geleerde broncode van een malafide auteur ook in modellen terecht.
Reageer
dasiro @sebastienbo10 april 2026 13:51
Je moet voor de grap maar eens kijken hoeveel CVE's er voor chrome of chromium based browsers verschijnen en hoe vaak die high of zelfs critical zijn. De garantie die je jezelf geeft dat ze 100% spyware/malware vrij zijn zou ik nooit aan anderen durven geven, om nog maar te zwijgen over mogelijk exploitable code.
Reageer
Jan VP @nzall10 april 2026 10:31
(Zo deed CrowdStrike op 19/07/2024 zowat 8,5 miljoen Windows-pc's crashen.)
Reageer
Powerblast @henkjobse10 april 2026 10:15
Ik heb me die vraag inderdaad ook al gesteld. Je kan eigenlijk al beter een weekje wachten voor je updates binnenhaalt omdat tegen dan wel iemand eventuele malware zal opgemerkt hebben. Zelfs tooling die vroeger bijna 100% te vertrouwen was kan je tegenwoordig niet meer vertrouwen.
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@Powerblast10 april 2026 10:28
Dit is iets kort door de bocht denk ik. Een patch voor een kwetsbaarheid met een groot risico zoals een non authenticated remote code execution zou ik toch zo snel mogelijk installeren via officiële bronnen. Het blijft een risico afweging; wat is erger; langer niet beschermd zijn tegen een bekend lek of de kans dat een update iets sloopt (wat volgens mij nog steeds sporadisch voorkomt).
Zelfs tooling die vroeger bijna 100% te vertrouwen was kan je tegenwoordig niet meer vertrouwen.
Dergelijke tooling was er eigenlijk vroeger ook al niet. Er zijn gevallen bekend waarbij bv malware mee werd geleverd bij installatiesoftware op CD's.
Reageer
Powerblast @Bor10 april 2026 10:36
Ik deel je mening :). Het is inderdaad een afweging. Dat updates zaken slopen lig ik iets minder wakker van. Dat is vervelend maar je kan er hopelijk rondwerken of het op een of andere manier fixen.

Tegenwoordig zie je echter meer infected repositories of dependencies waarin malware is toegevoegd (of dat is toch het idee dat ik krijg, kan ook zijn dat er nu meer aandacht voor is). Daar maak ik me op dat vlak wel meer zorgen over, je hengelt onbewust malware binnen waar je niet altijd van weet wat het lekt of steelt.
Reageer
NoTechSupport @henkjobse10 april 2026 10:33
Het lastige is dat zelfs traag updaten dit probleem niet oplost. Je zou moeten downloaden en dan als er binnen 48uur geen nieuws is, updaten. Dat is uiteraard heel onpraktisch. Pikte Windows Defender de malware eruit?

Update, het lijkt van wel:

The file was called ‘HWiNFO_Monitor_Setup.exe.’ After the download, my Windows Defender instantly detects a virus,” a Reddit user reported.

https://cybernews.com/security/cpuid-hwmonitor-hwinfo-cpuz-deliver-malware/

[Reactie gewijzigd door NoTechSupport op 10 april 2026 10:36]

Reageer
Ed Vertijsment @henkjobse10 april 2026 11:01
Geen slecht idee om ff paar dagen te wachten
Reageer
Mathijs Kok @Ed Vertijsment10 april 2026 11:52
Geen slecht idee om ff paar dagen te wachten
En waarom denk je dat sites alleen vlak na de release van een update gehacked worden?
Reageer
MeNTaL_TO 10 april 2026 10:15
Hoe kan je dit voorkomen? Als ze je site hacken dan kunnen ze de RC5 code ook wel aanpassen zodat je installer door die check heen komt.
Reageer
Sluuut @MeNTaL_TO10 april 2026 10:30
Niet dus. Je kunt alleen alles wat je download door Virustotal halen, maar ook dat geeft geen 100% zekerheid. En natuurlijk een up-to-date goed geteste scanner lokaal draaien, die een advanced threat defense heeft, dus ziet welk proces er vervolgens een ander proces start.
Reageer
Daviator @MeNTaL_TO10 april 2026 10:38
Met een fatsoenlijke anti-virus programma. Bitdefender bijvoorbeeld heeft me al een keer voor zo een payload beschermd.
Reageer
Enchantress @MeNTaL_TO10 april 2026 10:40
Goede virusscanner, ik gebruik kaspersky en dat is nog steeds de beste.
Reageer
MeNTaL_TO @Enchantress10 april 2026 10:45
Dan gaan jullie er wel vanuit dat de AV dit al herkend (of iig het gedrag herkend), maar hoeveel mensen zullen toch doorgaan als er vanuit een installer een andere installer gestart word, immers de bron is toch valide.

Heeft iemand toevallig de files door totalvirus gehaald?
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@Enchantress10 april 2026 10:47
Ah, de Russische Kaspersky waar men actief voor waarschuwd gezien de geopolitieke situatie. Zelfs een club als de cosumentenbond raad actief het gebruik af: Kaspersky antivirus geen aanrader door Russische achtergrond
Kaspersky is een Russisch bedrijf. Door de oorlog in Oekraïne raden we deze software nu niet aan. Heb je de scanner al geïnstalleerd? Lees dan de hoe je de software weer verwijdert.
Dan kijken we even verder:

De Duitse cyberveiligheidsdienst (BSI) heeft in 2022 al afgeraden de software te gebruiken. Ook in de VS is de software verboden voor bv overheidsinstanties.

De Nederlandse overheid adviseerde al in 2018 om te stoppen met Kaspersky bij vitale infrastructuur, en dit advies is na de inval in Oekraïne in 2022 herbevestigd.

[Reactie gewijzigd door Bor op 10 april 2026 10:47]

Reageer
Enchantress @Bor10 april 2026 11:55
Kan zijn, maar ik kijk puur naar het programma, waar het vandaan komt etc maakt mij niet veel uit.

Het is nog steeds een van de beste zo niet de beste anti malware/virus scanner.

Maar ieder zijn beweegredenen natuurlijk.
Reageer
joker1977 @Bor10 april 2026 12:29
Tja, ik heb absoluut geen affiniteit met Rusland - maar deze software wordt niet afgeraden op basis van kwaliteit, maar op basis van de geopolitieke situatie. D\dat zegt an sich weinig over de kwaliteit van de scanner.

En als je je zorgen maakt over het feit dat de Russische regering weleens backdoors in Kaspersky zou kunnen zetten dan moet je dezelfde concerns hebben bij elk stuk software gemaakt in de VS, waar dat ook zondermeer mogelijk is bij alle data op Amerikaans grondgebied.

De enige reden waarom Microsoft (Windows) niet dat advies krijgt is dan ook praktisch: We kunnen niet zonder. Dat moet je aan het denken zetten over de adviezen van welke software je "veilig" kunt gebruiken, toch ?
Reageer
ccnl @Bor10 april 2026 11:00
De Duitse cyberveiligheidsdienst (BSI) heeft in 2022 al afgeraden de software te gebruiken. Ook in de VS is de software verboden voor bv overheidsinstanties.
Misschien is Kaspersky een van de weinige AV, de westerse staatstrojaans detecteert?
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@ccnl10 april 2026 11:09
Of misschien niet en is het een groter risico dan we denken. Ik ben niet zo naief om te denken dat slechts 1 virusscanner bepaalde malware kan detecteren en de rest niet. Over het algemeen is er niet zo veel verschil te merken tussen de top 5 scanners; ze detecteren min of meer hetzelfde. Zou Kaspersky iets detecteren en aangeven wat de anderen niet zien dan zal dat waarschijnlijk vanzelf aan het licht komen gezien mensen met malware hier meer dan eens over schrijven op bv Internet. Daarbij kijken de anti malware producenten natuurlijk ook gewoon naar elkaars applicaties en detecties.

[Reactie gewijzigd door Bor op 10 april 2026 11:09]

Reageer
HollowGamer 10 april 2026 10:45
Waarom pusht Microsoft op Windows eindelijk niet eens winget/Store? Je voorkomt hiermee zoveel ellende, aangezien elke release ondertekend moet zijn.

Op MacOS heb ik brew voor die reden, en op Linux heb je genoeg andere formaten. Voorkom je het daarmee? Nee, maar je maakt het wel stukken lastiger.

Een website hoeft niet weg, je linkt gewoon naar de betreffende Store (of directe link - op eigen risico).

[Reactie gewijzigd door HollowGamer op 10 april 2026 10:46]

Reageer
h8bal @HollowGamer10 april 2026 12:03
Winget werkt gewoon super de laatste tijd
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@HollowGamer10 april 2026 11:12
Microsoft pushed de store al jaren; eigenlijk al sinds de introductie. Het slaat alleen nog niet zo aan. Ik vermoed dat dit zo zal blijven zo lang software installatie via andere wegen gemakkelijk is. De Microsoft Store heeft een beetje een imago probleem; niet populair en onbemind.
Reageer
Raymond Deen @Bor10 april 2026 11:36
Niet te vergeten ook wat er deze week in het nieuws was met betrekking tot WireGuard en VeraCrypt.

Het heeft z’n voordelen, maar veeg de nadelen niet onder het kleedje.
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@Raymond Deen10 april 2026 11:42
De issues bij VeraCrypt en Wireguard zijn voor zover nu bekend voortgekomen uit het negeren van een e-mail die de devs vanuit Microsoft hadden ontvangen waarin vooraf bekend werd gemaakt er het eea aangepast ging worden en dat men tijdig actie diende te ondernemen wat is verzuimd. Dat staat hier los van volgens mij.
Reageer
CriticalHit_NL @Bor10 april 2026 11:30
Soms ook buggy, een tijd geleden met een wat oudere MS Store versie op een vers Windows 10 OS weigerde deze te updaten omdat deze niet goed kon verbinden met de servers, met andere woorden je kon niets.

En recent lukte het dus niet op Windows 10 22H2 x64 Pro er de Prime app van Amazon op te krijgen (tsja het is nu gewoon in Edge maar goed) want die geeft constant foutmeldingen wat duidt op authenticatie, maar inloggen met een valide microsoft account mislukte dus ook op die machine. Kon het enkel installeren via powershell commando's...

Volgens mij staan ze geen donaties toe, zoals paint.net die ik meende enkel betaald kon aanbieden omdat ze op de website via donaties werken.

Ik voel me er toch niet lekker bij om van zoiets afhankelijk te zijn, met name de koppeling naar een Microsoft account, het is een prettiger idee dat je zelf de setups bij de hand kan houden zonder van de cloud perikelen afhankelijk te zijn.

Verder is die modern-UI van Windows bij deze 'apps' ook wel een draak, reageert traag en slecht, als je naar updates zoekt is het nogal buggy en reageert soms niet goed en het kan lang duren voordat de UI updated. Een beetje zoals je Windows Update uitvoert en het venster minimaliseert en deze dan als het ware 'bevriest' en soms het beter is het geheel volledig af te sluiten en opnieuw te openen omdat het sneller reageert dan te wachten...

Dus ze hebben toch wel terecht een slecht imago m.b.t. de store.

Maar dit gaat wel erg offtopic.
Reageer
JacOwns7 @HollowGamer10 april 2026 14:21
Ik update al jaren alles via Winget. Alleen van de trusted Winget source. Die Store app word al best wel lang "gepushed" maar wss niet tot op het punt wat je hier aangeeft.
Reageer
tw_gotcha 10 april 2026 10:47
Maar een Russisch openingsscherm...dat is toch suf? Ik krijg het idee dat dit hackers zijn die vernuftige malware gekocht hebben maar verder niet zo slim zijn.
Reageer
Kastermaster @tw_gotcha10 april 2026 10:53
Of het is een soort 'proof of concept' waarmee ze laten zien dat ze het kunnen met een ander doel (angst inboezemen, 'gewoon laten zien dat het kan', ...).
Reageer
CriticalHit_NL 10 april 2026 10:14
Zo zie je maar, legitieme bronnen kunnen soms ook niet te vertrouwen zijn.
Reageer
kujinshi @CriticalHit_NL10 april 2026 10:40
Ligt niet aan de bron, maar aan dat het bedrijf gehacked wordt. En dat kan overal gebeuren.
Reageer
S_Happens @kujinshi10 april 2026 10:44
Ligt niet aan de bron, maar aan dat het bedrijf gehacked wordt. En dat kan overal gebeuren.
Dat is precies wat @CriticalHit_NL zegt.
Voor een eindgebruiker zijn legitieme bronnen dus ook niet altijd veilig.
Reageer
Scriptkid 10 april 2026 10:12
Weet iemand of de auto update ook geinfecteerd is of vanaf welke versie.

1.63 staat in het artikel zie ik nu.

[Reactie gewijzigd door Scriptkid op 10 april 2026 10:12]

Reageer
rob.vs 10 april 2026 10:46
Waarom de installer een andere naam geven? 🤔
Reageer
igloo 10 april 2026 11:05
Ze hebben de C2 domain geblokt via cloudflare, de website is nu read-only volgens een van de developers en hun zijn nu aan het wachten tot dat Franck de lead dev terug is. De breach is ook trouwens gevonden en de download links zijn gecorrigeerd zodat ze linken naar de juiste downloads maar het is allemaal read-only voor nu

(cool dat mijn tip een artikel geworden is :) )
Reageer
turkeyhakan 10 april 2026 11:26
Ik wilde vandaag beide programma's updaten, blij dat ik het niet heb gedaan. Bedankt Tweakers.

Ik gebruik inderdaad ook altijd de installer!
Reageer

Om te kunnen reageren moet je ingelogd zijn