Allt du behöver veta om CCleaner Malware Attack

Nyheter har framkommit att en infekterad version av den populära PC- och Android-optimeringsprogramvaran CCleaner har spridit skadlig programvara till ett stort antal datoranvändare. Uppenbarelsen kom först på nätet på måndag morgon, då programvaruutvecklaren Piriform publicerade ett blogginlägg om ämnet. Den goda nyheten är att endast personer som kör CCleaner på 32-bitars Windows-system drabbades.

Sedan historien först brast har datasäkerhetsföretaget Avast meddelat att upp till 2,27 miljoner CCleaner-användare kan ha påverkats av skadlig programvara som doldes i officiella versioner av den populära datorns prestandaoptimeringsprogramvara. Sedan dess har Cisco från forskning avslöjat att det verkliga antalet infektioner är lägre, på cirka 700 000 datorer.

Enligt blogginlägget från Piriform sprids infekterade kopior av CCleaner mellan 15 augusti och 12 september. Piriform säger att versionerna av programvaran som komprometterades är CCleaner 5.33.6162 och CCleaner Cloud 1.07.3191.

Piriform uppmanar alla CCleaner-användare att ladda ner version 5.34 eller högre så snart som möjligt. Det är värt att notera att användare av CCleaner Cloud automatiskt har fått uppdateringen. Emellertid kanske andra CCleaner-användare fortfarande kör den komprometterade versionen, så uppdatering manuellt är oerhört viktigt för dessa konsumenter.

Det är ännu inte känt hur hackare lyckades dölja den onda koden inom den officiella versionen av CCleaner. Från Piriforms blogginlägg:

”Vi fann att versionen 5.33.6162 av CCleaner och 1.07.3191-versionen av CCleaner Cloud var olagligt modifierad innan den släpptes för allmänheten, och vi inledde en utredningsprocess. Vi kontaktade också omedelbart brottsbekämpande enheter och arbetade med dem för att lösa problemet. ”

"Icke känslig" Datastulen

Hittills har Piriform kunnat konstatera att skadlig programvara kommunicerade med en Command and Control (CnC) -server som finns i USA. Hackare verkar ha använt skadlig programvara för att skörda det företaget beskriver som "icke-känslig" data.

Dessa data inkluderar användarens datornamn, IP-adress, en omfattande lista över installerad programvara på sin maskin, en lista över aktiv programvara och lista över nätverkskort. Piriform har informerat användare om att:

”Vi har inga indikationer på att någon annan data har skickats till servern.

”I samarbete med amerikansk lagstiftning fick vi denna server att stängas av den 15 september innan någon känd skada gjordes. Det skulle ha varit ett hinder för brottsbekämpande myndighetens utredning att ha offentliggjort detta innan servern inaktiverades och vi slutförde vår första utvärdering, "

Avast

Avasts engagemang

Intressant nog förvärvade säkerhetsgiganten Avast (som tillhandahåller säkerhetsprodukter för datoranvändare över hela världen) CCleaners utvecklare Piriform. Detta förvärv slutfördes för bara två månader sedan, i juli 2017. Av detta skäl är tidpunkten för attacken lite av en huvudskratare, för att säga det sämst. Det faktum att skadlig programvara gjorde det till en officiell version av CCleaner innan den släpptes för allmänheten kan innebära att hackaren fungerade från insidan. Svaret kommer med tiden.

En talesman på Avasts vägnar har kommenterat följande:

”Vi tror att dessa användare är säkra nu eftersom vår utredning indikerar att vi kunde avväpna hotet innan det kunde göra någon skada.

"Vi uppskattar att 2,27 miljoner användare hade den drabbade programvaran installerad på 32-bitars Windows-maskiner."

Några goda nyheter

Trots en stor initial uppskattning av infektioner verkar det som om Piriform har varit ganska lycklig. Vid tidpunkten för förvärvet av Avast hävdades att CCleaner har totalt 130 miljoner aktiva användare, inklusive 15 miljoner på Android. På grund av att infektionen endast var begränsad till versioner av CCleaner som körs på 32-bitars Windows-datorer verkar det som om ett relativt litet antal CCleaner-användare påverkades (bara 700 000 maskiner enligt Cisco).

Företagsmål

Företagsmål

Trots att de endast har riktat sig mot ett litet antal CCleaner-användare har det nu framkommit bevis för att hackarna mycket specifikt försökte infektera företagens mål. Denna upptäckt avslöjades av säkerhetsexperter som analyserade CnC-servern som används av hackaren.

Forskare vid Ciscos säkerhetsavdelning Talos hävdar att de har funnit bevis för att 20 stora företag specifikt var riktade mot infektion. Bland dessa företag är Intel, Google, Samsung, Sony, VMware, HTC, Linksys, Microsoft, Akamai, D-Link och Cisco själv. Enligt Cisco lyckades hackarna infektera minst en maskin i ungefär hälften av dessa fall. Detta fungerade som en bakdörr för deras CnC-server för att leverera en mer sofistikerad nyttolast. Cisco anser att exploateringen var avsedd att användas för företags spionage.

Intressant nog, enligt både Cisco och Kaspersky, delar skadlig kodkod i CCleaner viss kod med exploater som används av kinesiska statliga hackare, så kallade Group 72, eller Axiom. Det är för tidigt att berätta, men det kan betyda att cyberattacken var en statlig sponsrad operation.

Forskningschef på Talos, Craig Williams, kommenterar,

"När vi först hittade detta visste vi att det hade smittat många företag. Nu vet vi att detta användes som en dragnet för att rikta in sig på dessa 20 företag världen över ... för att få fotfäste i företag som har värdefulla saker att stjäla, inklusive Cisco tyvärr."

Cisco

Fångad tidigt

Tack och lov kunde Piriform upptäcka attacken tidigt nog för att hindra den från att bli mycket värre. Piriforms vice president, Paul Yung, kommenterar,

"I det här skedet vill vi inte spekulera hur den obehöriga koden framträdde i CCleaner-programvaran, var attacken härstammade från, hur länge den förbereddes och vem som stod bakom den."

Cisco var dock snabb med att påpeka att för företag som var riktade (som de redan har kontaktat) kanske det inte är tillräckligt med att uppdatera CCleaner, eftersom den sekundära nyttolasten kan döljas inom deras system. Det kan kommunicera med en separat CnC-server till den som hittills har upptäckts. Det betyder att det är möjligt att ännu fler exploater har levererats till dessa maskiner av hackarna.

Av denna anledning rekommenderar Cisco att alla potentiellt infekterade maskiner återställs till en tid innan den förorenade versionen av Piriforms programvara installerades på dem.

Cclener Trojan

TR / RedCap.zioqa

Enligt en CCleaner-användare, kallad Sky87, öppnade de CCleaner på tisdagen för att kontrollera vilken version de hade. Vid den tidpunkten karantänades omedelbart 32-bitars binären med ett meddelande som identifierar skadlig programvara som TR / RedCap.zioqa. TR / RedCap.zioqa är en trojan som redan är välkänd för säkerhetsexperter. Avira hänvisar till det som,

"En trojansk häst som kan spionera data, kränka din integritet eller utföra oönskade ändringar av systemet."

Vad ska man göra

Om du är orolig för din version av CCleaner, kolla in ditt system för en Windows-registernyckel. För att göra det, gå till: HKEY_LOCAL_MACHINE >PROGRAMVARA >Piriform >Agomo. Om Agomo-mappen finns finns det två värden, med namnet MUID och TCID. Detta signalerar att din maskin verkligen är infekterad.

Det är värt att notera att uppdatering av ditt system till CCleaner version 5.34 inte tar bort Agomo-nyckeln från Windows-registret. Den ersätter bara skadliga körbara filer med legitima sådana att skadlig programvara inte längre utgör ett hot. Som sådan, om du redan har uppdaterat till den senaste versionen av CCleaner och ser Agomo Key, är det inte något att oroa dig för.

För alla som fruktar att deras system kan smittas med en version av TR / RedCap.zioqa trojan, är det bästa rådet att använda verktyget för detektering och borttagning av skadlig programvara SpyHunter. Alternativt finns det en steg-för-steg-guide för att ta bort trojanen här.

Åsikter är författarens egna.

Titelbild kredit: Skärmdump av CCleaner-logotyp.

Bildkrediter: dennizn / Shutterstock.com, Vintage Tone / Shutterstock.com, Denis Linine / Shutterstock.com, Iaremenko Sergii / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me