Vše, co potřebujete vědět o útoku CCleaner Malware Attack

Ukázalo se, že infikovaná verze populárního softwaru pro optimalizaci počítačů a Android CCleaner šíří malware malému počtu uživatelů počítačů.. Zjevení se poprvé objevilo na webu v pondělí ráno, když vývojář softwaru Piriform zveřejnil blogový příspěvek na toto téma. Dobrou zprávou je, že se to týkalo pouze lidí, kteří provozovali CCleaner na 32bitových systémech Windows.


Od doby, kdy se příběh poprvé zlomil, oznámila firma Avast v počítačové bezpečnosti, že malware, který byl skryt v oficiálních verzích populárního softwaru pro optimalizaci výkonu počítače, mohl být zasažen až 2,27 milionu uživatelů CCleaner. Od té doby výzkum společnosti Cisco odhalil, že skutečný počet infekcí je nižší, na přibližně 700 000 počítačích.

Podle blogového příspěvku Piriformu byly infikované kopie CCleaner šířeny mezi 15. srpnem a 12. zářím. Piriform říká, že verze jeho kompromitovaného softwaru jsou CCleaner 5.33.6162 a CCleaner Cloud 1.07.3191.

Piriform naléhá na všechny uživatele CCleaner, aby si co nejdříve stáhli verzi 5.34 nebo vyšší. Je třeba poznamenat, že uživatelé CCleaner Cloud dostanou aktualizaci automaticky. Ostatní uživatelé CCleaner však mohou stále používat kompromitovanou verzi, takže pro tyto spotřebitele je ruční aktualizace velmi důležitá.

Dosud není známo, jak se hackerům podařilo skrýt zlovolný kód v oficiální verzi CCleaner. Z blogového příspěvku Piriformu:

„Zjistili jsme, že verze CCleaner 5.33.6162 a verze CCleaner Cloud 1.07.3191 byly před jejím zveřejněním nelegálně upraveny a zahájili jsme vyšetřovací proces. Okamžitě jsme také kontaktovali jednotky činné v trestním řízení a spolupracovali jsme na jejich vyřešení. “

"Necitlivé" Ukradená data

Doposud Piriform byl schopen zjistit, že malware komunikoval se serverem Command and Control (CnC) umístěným v USA. Hackeři zřejmě použili malware ke sklizni toho, co firma popisuje jako „necitlivá“ data.

Tato data zahrnují jméno počítače uživatele, IP adresu, úplný seznam nainstalovaného softwaru v počítači, seznam aktivního softwaru a seznam síťových adaptérů. Piriform informoval uživatele, že:

„Nemáme žádné náznaky, že by na server byla odeslána jakákoli jiná data.

„Při práci s americkými orgány činnými v trestním řízení jsme 15. září zavřeli tento server, než došlo k jakékoli známé škodě. Bylo by překážkou pro vyšetřování orgánu činného v trestním řízení, aby se o tom veřejně informoval před deaktivací serveru a dokončením našeho prvotního posouzení, “

Avast

Zapojení Avastu

Zajímavé je, že bezpečnostní gigant Avast (který poskytuje bezpečnostní produkty pro uživatele počítačů na celém světě) teprve nedávno získal vývojáře CCleaner Piriform. Tato akvizice byla dokončena teprve před dvěma měsíci, v červenci 2017. Z tohoto důvodu je načasování útoku přinejmenším trochu škrábání hlavy. Skutečnost, že malware se dostal na oficiální verzi CCleaner předtím, než byl vydán veřejnosti, může znamenat, že hacker pracoval zevnitř. Pouze čas ukáže.

Mluvčí jménem Avast předložil následující připomínky:

"Věříme, že tito uživatelé jsou nyní v bezpečí, protože naše vyšetřování naznačuje, že jsme byli schopni odzbrojit hrozbu dříve, než dokázala ublížit.".

"Odhadujeme, že na 32bitových počítačích se systémem Windows nainstalovali postižený software 2,27 milionu uživatelů."

Některé dobré zprávy

I přes velký počáteční odhad infekcí by se zdálo, že Piriform měl docela štěstí. V době akvizice společnosti Avast se tvrdilo, že společnost CCleaner má neuvěřitelných 130 milionů aktivních uživatelů, včetně 15 milionů v systému Android. Vzhledem k tomu, že infekce byla omezena pouze na verze CCleaner běžící na 32bitových počítačích se systémem Windows, zdá se, že bylo ovlivněno relativně malé množství uživatelů CCleaner (podle Cisco pouze 700 000 počítačů).

Cíle společnosti

Cíle společnosti

Přestože bylo zacíleno pouze na malý počet uživatelů CCleaner, nyní se ukázalo, že hackeři se velmi konkrétně pokoušejí infikovat firemní cíle. Toto odhalení odhalili odborníci na bezpečnost, kteří analyzovali server CnC používaný hackerem.

Vědci z bezpečnostní divize společnosti Cisco Talos tvrdí, že našli důkazy o tom, že 20 velkých společností bylo specificky zaměřeno na infekci. Mezi tyto firmy patří Intel, Google, Samsung, Sony, VMware, HTC, Linksys, Microsoft, Akamai, D-Link a Cisco. Podle společnosti Cisco se hackerům v přibližně polovině těchto případů podařilo infikovat alespoň jeden počítač. To fungovalo jako backdoor pro jejich CnC server, aby poskytoval sofistikovanější užitečné zatížení. Cisco věří, že exploit měl být používán pro firemní špionáž.

Zajímavé je, že podle Cisco i Kaspersky, malware kód obsažený v CCleaner sdílí nějaký kód s exploitacemi používanými čínskými vládními hackery známými jako Group 72, nebo Axiom. Je příliš brzy na to říct, ale to může znamenat, že kybernetický útok byl státem podporovanou operací.

Research manager ve společnosti Talos, Craig Williams, komentáře,

"Když jsme to zpočátku zjistili, věděli jsme, že nakazilo mnoho společností. Nyní víme, že to bylo používáno jako dragnet k cílení na těchto 20 společností po celém světě ... k získání opory ve společnostech, které mají cenné věci, které mohou ukrást, včetně bohužel společnosti Cisco."

Cisco

Chycený brzy

Naštěstí Piriform byl schopen včas odhalit útok, aby zabránil jeho zhoršování. Viceprezident Piriformu, Paul Yung, komentuje,

"V této fázi nechceme spekulovat, jak se neautorizovaný kód objevil v softwaru CCleaner, odkud útok pocházel, jak dlouho byl připraven a kdo stál za ním."

Cisco však rychle poukázal na to, že pro firmy, které byly cíleny (s nimiž již kontaktovaly), nemusí aktualizace CCleaner stačit, protože sekundární užitečné zatížení může být v jejich systémech skryté. Mohla by to být komunikace se samostatným CnC serverem k tomu, který byl dosud odkryt. To znamená, že hackeři na tyto stroje dostali ještě více vykořisťování.

Z tohoto důvodu společnost Cisco doporučuje, aby byly všechny potenciálně infikované počítače obnoveny do doby, než na ně byla nainstalována kontaminovaná verze softwaru Piriform..

Cclener Trojan

TR / RedCap.zioqa

Podle jednoho uživatele CCleaner, který se jmenuje Sky87, otevřeli v úterý CCleaner, aby zkontrolovali, jakou verzi mají. V tomto okamžiku byl 32bitový binární soubor okamžitě uložen do karantény zprávou označující malware jako TR / RedCap.zioqa. TR / RedCap.zioqa je trojan, který je již odborníkům v oblasti bezpečnosti dobře známý. Avira to označuje jako,

"Trójský kůň, který dokáže prozkoumat data, narušit vaše soukromí nebo provádět nežádoucí úpravy systému."

Co dělat

Pokud se obáváte o verzi CCleaner, zkontrolujte v systému klíč registru systému Windows. To provedete na: HKEY_LOCAL_MACHINE >SOFTWARE >Piriform >Agomo. Pokud je k dispozici složka Agomo, budou existovat dvě hodnoty s názvem MUID a TCID. To signalizuje, že váš počítač je skutečně infikován.

Je třeba poznamenat, že aktualizace systému na verzi CCleaner 5.34 neodstraní klíč Agomo z registru Windows. Nahrazuje pouze škodlivé spustitelné soubory legitimními, takže malware již nepředstavuje hrozbu. Pokud jste již aktualizovali na nejnovější verzi CCleaner a uvidíte klíč Agomo, není to nic, čeho by se mělo znepokojovat.

Pro každého, kdo se obává svého systému, by mohl být infikován verzí trojského koně TR / RedCap.zioqa, nejlepší radou je použití bezplatného nástroje pro detekci a odstranění škodlivého softwaru SpyHunter. Alternativně je zde průvodce krok za krokem pro odstranění trojského koně.

Názory jsou vlastní spisovatelem.

Titul obrázku: Záběr loga CCleaner.

Obrazové kredity: dennizn / Shutterstock.com, Vintage Tone / Shutterstock.com, Denis Linine / Shutterstock.com, Iaremenko Sergii / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me