Kaikki mitä sinun tarvitsee tietää CCleaner Malware Attack -sovelluksesta

Uutisia on ilmestynyt, että tartunnan saaneen version suositusta PC: n ja Androidin optimointiohjelmasta CCleanerista on levinnyt haittaohjelmia monille tietokoneen käyttäjille. Ilmestys ilmestyi ensimmäistä kertaa verkkoon maanantaiaamuna, kun ohjelmiston kehittäjä Piriform julkaisi aiheesta blogin. Hyvä uutinen on, että vaikutus koski vain ihmisiä, jotka käyttävät CCleaneria 32-bittisissä Windows-järjestelmissä.

Tarinan ensimmäisen puhkeamisen jälkeen tietoturvayritys Avast on ilmoittanut, että jopa 2,27 miljoonaan CCleanerin käyttäjään on vaikuttanut haittaohjelma, joka oli piilotettu suositun PC: n suorituskyvyn optimointiohjelmiston virallisiin versioihin. Sittemmin Ciscon tutkimukset ovat paljastaneet, että todellinen infektiomäärä on alhaisempi, noin 700 000 tietokoneessa.

Piriformin blogikirjoituksen mukaan tartunnan saaneita CCleaner-kopioita levitettiin 15. elokuuta - 12. syyskuuta. Piriform kertoo, että sen ohjelmistoversioita, jotka ovat vaarantuneet, ovat CCleaner 5.33.6162 ja CCleaner Cloud 1.07.3191.

Piriform kehottaa kaikkia CCleaner-käyttäjiä lataamaan version 5.34 tai uudempi mahdollisimman pian. On syytä huomata, että CCleaner Cloud -käyttäjät ovat vastaanottaneet päivityksen automaattisesti. Muut CCleaner-käyttäjät saattavat kuitenkin edelleen käyttää vaarannettua versiota, joten manuaalinen päivitys on erittäin tärkeä näille kuluttajille.

Ei ole vielä tiedossa, kuinka hakkerit onnistuivat piilottamaan pahanlaatuisen koodin CCleanerin virallisessa versiossa. Piriformin blogiviestistä:

”Havaitsimme, että CCleaner 5.33.6162 -versiota ja CCleaner Cloud -version 1.07.3191 -versiota muutettiin laittomasti ennen sen julkistamista, ja aloitimme tutkintaprosessin. Otamme myös välittömästi yhteyttä lainvalvontaviranomaisiin ja työskentelimme heidän kanssaan ongelman ratkaisemiseksi. ”

"Ei herkkä" Tiedot varastettu

Toistaiseksi Piriform on pystynyt varmistamaan, että haittaohjelmat olivat yhteydessä Yhdysvaltoissa sijaitsevaan Command and Control (CnC) -palvelimeen. Hakkerit näyttävät käyttäneet haittaohjelmia kerätäkseen sitä, mitä yritys kuvaa "arkaluontoiseksi" tiedoksi.

Tietoihin sisältyy käyttäjän tietokoneen nimi, IP-osoite, kattava luettelo koneeseen asennetuista ohjelmistoista, luettelo aktiivisista ohjelmistoista ja luettelo verkkosovittimista. Piriform on ilmoittanut käyttäjille, että:

”Meillä ei ole merkkejä siitä, että palvelimelle olisi lähetetty muuta tietoa.

Yhteistyössä Yhdysvaltain lainvalvonnan kanssa aiheutimme tämän palvelimen sammuttamisen 15. syyskuuta ennen kuin tiedossa olevia vahinkoja tehtiin. Lainvalvontaviraston tutkimukselle olisi ollut este, että se olisi tullut julkisuuteen ennen kuin palvelin poistettiin käytöstä ja valmistimme alustavan arviointimme "

Avast

Avastin osallistuminen

Mielenkiintoista on, että tietoturva jättiläinen Avast (joka tarjoaa tietoturvatuotteita tietokoneen käyttäjille maailmanlaajuisesti) osti vasta äskettäin CCleanerin kehittäjän Piriformin. Kauppa saatiin päätökseen vain kaksi kuukautta sitten, heinäkuussa 2017. Tästä syystä hyökkäyksen ajoitus on vähintäänkin päänsärijä. Se, että haittaohjelma teki sen CCleanerin viralliseen versioon ennen sen julkistamista, voi tarkoittaa hakkerointia toimimasta sisäpuolelta. Vain aika näyttää.

Tiedottaja Avastin puolesta on tehnyt seuraavat kommentit:

”Uskomme, että nämä käyttäjät ovat nyt turvallisia, koska tutkimuksemme osoittaa, että pystyimme poistamaan uhan ennen kuin se pystyi vahingoittamaan.

"Arvioimme, että 2,27 miljoonalla käyttäjällä oli ohjelmisto asennettuna 32-bittisiin Windows-koneisiin."

Hyviä uutisia

Huolimatta laajasta alustavasta arviosta infektioista näyttää siltä, ​​että Piriform on ollut onnekas. Avastin hankintahetkellä väitettiin, että CCleanerilla on mahtava 130 miljoonaa aktiivista käyttäjää, mukaan lukien 15 miljoonaa Androidissa. Koska infektio rajoittui vain CCleaner-versioihin, jotka toimivat 32-bittisissä Windows-tietokoneissa, vaikuttaa siltä, ​​että vaikutus CCleaner-käyttäjiin oli suhteellisen pieni (vain 700 000 konetta, Ciscon mukaan).

Yritystavoitteet

Yritystavoitteet

Huolimatta siitä, että he olivat kohdistaneet vain pienen määrän CCleaner-käyttäjiä, nyt on saatu näyttöä siitä, että hakkerit yrittivät erityisen saastuttaa yrityskohteet. Tämän paljastuksen paljastivat tietoturva-asiantuntijat, jotka analysoivat hakkerin käyttämän CnC-palvelimen.

Ciscon Talos-turvallisuusosaston tutkijat väittävät löytäneensä todisteita siitä, että 20 suurta yritystä oli suunnattu tartuntaa varten. Näitä yrityksiä ovat Intel, Google, Samsung, Sony, VMware, HTC, Linksys, Microsoft, Akamai, D-Link ja itse Cisco. Ciscon mukaan noin puolet näistä tapauksista hakkerit onnistuivat saastuttamaan ainakin yhden koneen. Tämä toimi takaporttina heidän CnC-palvelimelle tarjotakseen hienostuneemman hyötykuorman. Cisco uskoo, että hyväksikäyttö oli tarkoitettu käytettäväksi yritysvakoilussa.

Mielenkiintoista on, että sekä Ciscon että Kasperskyn mukaan CCleanerin sisältämällä haittaohjelmakoodilla on jonkinlainen koodi Kiinan hallituksen hakkereiden, nimeltään ryhmä 72 tai Axiom, käyttämien hyötyjen kanssa. On liian aikaista kertoa, mutta tämä voi tarkoittaa, että kyberhyökkäys oli valtion tukema operaatio.

Taloksen tutkimuspäällikkö Craig Williams kommentoi,

"Kun löysimme tämän alun perin, tiesimme, että se oli saastuttanut paljon yrityksiä. Nyt tiedämme, että sitä käytettiin dragnetina kohdistamaan nämä 20 yritystä maailmanlaajuisesti ... saadakseen jalansijaa yrityksissä, joilla on arvokkaita asioita varastettavaksi, mukaan lukien valitettavasti Cisco."

cisco

Pysyi varhain

Onneksi Piriform pystyi havaitsemaan hyökkäyksen riittävän aikaisin estääksesi sen pahenemisesta. Piriformin varapuheenjohtaja Paul Yung kommentoi,

"Tässä vaiheessa emme halua miettiä, kuinka luvattomat koodit ilmestyivät CCleaner-ohjelmistoon, mistä hyökkäys sai alkunsa, kuinka kauan sitä valmisteltiin ja kuka seisoi sen takana."

Cisco huomautti kuitenkin nopeasti, että yrityksille, joille on kohdistettu kohde (joihin ne ovat jo ottanut yhteyttä), pelkkä CCleanerin päivittäminen ei ehkä riitä, koska toissijainen hyötykuorma saattaa olla piilotettu niiden järjestelmiin. Se voi olla yhteydessä erilliseen CnC-palvelimeen tähän asti paljastuneeseen. Tämä tarkoittaa, että on mahdollista, että hakkerit ovat toimittaneet näihin koneisiin vielä enemmän hyväksikäyttöä.

Tästä syystä Cisco suosittelee kaikkien mahdollisesti tartunnan saaneiden koneiden palauttamista ajankohtaan ennen kuin Piriformin ohjelmiston saastunut versio asennettiin niihin..

Cclener Trojan

TR / RedCap.zioqa

Yhden CCleaner-käyttäjän, nimeltään Sky87, mukaan he avasivat CCleanerin tiistaina tarkistaakseen, mikä versio heillä oli. Siinä vaiheessa 32-bittinen binääri karanteenoitiin heti viestillä, joka tunnisti haittaohjelman nimellä TR / RedCap.zioqa. TR / RedCap.zioqa on troijalainen, joka on jo tietänyt turvallisuusasiantuntijoille. Avira viittaa siihen,

"Troijalainen hevonen, joka pystyy vakoilemaan tietoja, loukamaan yksityisyyttäsi tai suorittamaan ei-toivottuja muutoksia järjestelmään."

Mitä tehdä

Jos olet huolissasi CCleaner-versiosta, tarkista järjestelmästäsi Windows-rekisteriavain. Siirry kohtaan: HKEY_LOCAL_MACHINE >OHJELMISTO >piriform >Agomo. Jos Agomo-kansio on läsnä, siellä on kaksi arvoa, nimeltään MUID ja TCID. Tämä osoittaa, että koneesi on todella saanut tartunnan.

On syytä huomata, että järjestelmän päivittäminen CCleaner-versioon 5.34 ei poista Agomo-avainta Windows-rekisteristä. Se korvaa vain haitalliset suoritettavat tiedostot laillisilla, jotta haittaohjelmat eivät enää muodosta vaaraa. Sinänsä, jos olet jo päivittänyt uusimpaan CCleaner-versioon ja näet Agomo Key -sovelluksen, tästä ei tarvitse huolehtia..

Kaikille, jotka pelkäävät järjestelmänsä tarttuvan TR / RedCap.zioqa-troijalaisen versioon, paras neuvo on käyttää ilmaista haittaohjelmien havaitsemis- ja poistotyökalua SpyHunter. Vaihtoehtoisesti täällä on vaiheittainen opas troijalaisten poistamiseksi.

Mielipiteet ovat kirjoittajan omat.

Otsikkokuvaus: Näyttökuva CCleaner-logosta.

Kuvahyvitykset: dennizn / Shutterstock.com, Vintage Tone / Shutterstock.com, Denis Linine / Shutterstock.com, Iaremenko Sergii / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me