Alt hvad du behøver at vide om CCleaner Malware Attack

Der er kommet nyheder om, at en inficeret version af den populære pc- og Android-optimeringssoftware CCleaner har spredt malware til et stort antal computerbrugere. Åbenbaringen kom først på nettet mandag formiddag, da softwarens udvikler Piriform offentliggjorde et blogindlæg om emnet. Den gode nyhed er, at kun folk, der kører CCleaner på 32-bit Windows-systemer, blev berørt.

Siden historien først brød, har computersikkerhedsfirmaet Avast annonceret, at op til 2,27 millioner CCleaner-brugere kan være blevet påvirket af malware, der var skjult i officielle versioner af den populære pc-ydeevneoptimeringssoftware. Siden da har forskning fra Cisco afsløret, at det rigtige antal infektioner er lavere, på omkring 700.000 pc'er.

Ifølge blogindlægget fra Piriform blev inficerede kopier af CCleaner spredt mellem 15. august og 12. september. Piriform siger, at versionerne af dets software, der blev kompromitteret, er CCleaner 5.33.6162 og CCleaner Cloud 1.07.3191.

Piriform opfordrer alle CCleaner-brugere til at downloade version 5.34 eller højere så hurtigt som muligt. Det er værd at bemærke, at brugere af CCleaner Cloud automatisk har modtaget opdateringen. Imidlertid kører andre CCleaner-brugere muligvis stadig den kompromitterede version, så opdatering manuelt er ekstremt vigtigt for disse forbrugere.

Det vides endnu ikke, hvordan hackere formåede at skjule den ondsindede kode inden for den officielle version af CCleaner. Fra Piriformes blogindlæg:

”Vi fandt, at 5.33.6162-versionen af ​​CCleaner og 1.07.3191-versionen af ​​CCleaner Cloud blev ulovligt ændret, før den blev frigivet for offentligheden, og vi startede en efterforskningsproces. Vi kontaktede også straks retshåndhævende enheder og arbejdede med dem på at løse problemet. ”

"Ikke følsom" Stolen af ​​data

Indtil videre har Piriform været i stand til at konstatere, at malware kommunikerede med en Command and Control (CnC) -server placeret i USA. Hackere ser ud til at have brugt malware til at høste, hvad firmaet beskriver som "ikke-følsomme" data.

Disse data inkluderer brugerens computernavn, IP-adresse, en omfattende liste over installeret software på deres maskine, en liste over aktiv software og liste over netværkskort. Piriform har informeret brugerne om, at:

”Vi har ingen indikationer på, at der er sendt andre data til serveren.

”I samarbejde med amerikansk retshåndhævelse fik vi denne server til at blive lukket den 15. september, før der blev sket nogen kendt skade. Det ville have været en hindring for det retshåndhævende myndigheds undersøgelse at have været offentlig med dette, før serveren blev deaktiveret, og vi afsluttede vores første vurdering, ”

Avast

Avasts involvering

Interessant nok er sikkerhedsgiganten Avast (som leverer sikkerhedsprodukter til computerbrugere over hele verden) kun for nylig erhvervet CCleaners udvikler Piriform. Denne erhvervelse blev afsluttet for kun to måneder siden, i juli 2017. Af denne grund er tidspunktet for angrebet lidt af en head-scratcher, for at sige det mildt. Den kendsgerning, at malware'en kom på en officiel version af CCleaner, før den blev frigivet til offentligheden, kunne betyde, at hacker arbejdede indefra. Det vil tiden vise.

En talsperson på vegne af Avast har fremsat følgende kommentarer:

”Vi mener, at disse brugere er sikre nu, da vores undersøgelse viser, at vi var i stand til at afvæbne truslen, før den var i stand til at gøre skade.

”Vi estimerer, at 2,27 millioner brugere havde den berørte software installeret på 32-bit Windows-maskiner.”

Nogle gode nyheder

På trods af et stort initialt skøn over infektioner ser det ud til, at Piriform har været ret heldig. På det tidspunkt, hvor Avast blev overtaget, blev det hævdet, at CCleaner har hele 130M aktive brugere, inklusive 15M på Android. På grund af det faktum, at infektionen kun var begrænset til versioner af CCleaner, der kørte på 32-bit Windows-pc'er, ser det ud til, at et relativt lille antal CCleaner-brugere blev påvirket (kun 700.000 maskiner, ifølge Cisco).

Virksomhedsmål

Virksomhedsmål

På trods af kun at have målrettet et lille antal CCleaner-brugere, er der nu kommet bevis for, at hackerne meget specifikt forsøgte at inficere virksomhedens mål. Denne åbenbaring blev afsløret af sikkerhedseksperter, der analyserede den CnC-server, der blev brugt af hacker.

Forskere ved Ciscos sikkerhedsafdeling Talos hævder, at de har fundet bevis for, at 20 store virksomheder specifikt var målrettet mod infektion. Blandt disse virksomheder er Intel, Google, Samsung, Sony, VMware, HTC, Linksys, Microsoft, Akamai, D-Link og Cisco selv. Ifølge Cisco lykkedes det sig for cirka halvdelen af ​​disse tilfælde at hackere inficerede mindst en maskine. Dette fungerede som en bagdør for deres CnC-server for at levere en mere sofistikeret nyttelast. Cisco mener, at udnyttelse var beregnet til at blive brugt til virksomhedsspionage.

Interessant nok, ifølge både Cisco og Kaspersky, deler malware-koden indeholdt i CCleaner en vis kode med udnyttelser, der bruges af kinesiske regerings hackere kaldet Group 72 eller Axiom. Det er for tidligt at fortælle, men det kan betyde, at cyberattacken var en statsstøttet operation.

Research manager hos Talos, Craig Williams, kommenterer,

"Da vi oprindeligt fandt dette, vidste vi, at det havde inficeret mange virksomheder. Nu ved vi, at dette blev brugt som en dragnet til at målrette mod disse 20 virksomheder over hele verden ... for at få fodfæste i virksomheder, der har værdifulde ting at stjæle, inklusive Cisco desværre."

Cisco

Fanget tidligt

Heldigvis kunne Piriform se stedet angrebet tidligt til at forhindre, at det blev meget værre. Piriforms vicepræsident, Paul Yung, kommenterer,

"På dette tidspunkt ønsker vi ikke at spekulere i, hvordan den uautoriserede kode optrådte i CCleaner-softwaren, hvor angrebet stammer fra, hvor længe det blev forberedt, og hvem der stod bag det."

Cisco var dog hurtig med at påpege, at for virksomheder, der var målrettet (som de allerede har kontaktet), er det muligvis ikke nok at opdatere CCleaner, fordi den sekundære nyttelast muligvis er skjult i deres systemer. Det kan kommunikere med en separat CnC-server til den, der hidtil er blevet afsløret. Det betyder, at det er muligt, at endnu flere udnyttelser er blevet leveret på disse maskiner af hackerne.

Af denne grund anbefaler Cisco, at alle potentielt inficerede maskiner gendannes til et tidspunkt, før den forurenede version af Piriforms software blev installeret på dem.

Cclener Trojan

TR / RedCap.zioqa

Ifølge en CCleaner-bruger, kaldet Sky87, åbnede de CCleaner på tirsdag for at kontrollere, hvilken version de havde. På det tidspunkt blev den 32-bit binære øjeblikkeligt karantæne med en meddelelse, der identificerer malware som TR / RedCap.zioqa. TR / RedCap.zioqa er en trojan, der allerede er velkendt af sikkerhedseksperter. Avira refererer til det som,

"En trojansk hest, der er i stand til at spionere data, krænke dit privatliv eller udføre uønskede ændringer af systemet."

Hvad skal man gøre

Hvis du er bekymret for din version af CCleaner, skal du kontrollere dit system for en Windows-registreringsdatabase nøgle. For at gøre dette skal du gå til: HKEY_LOCAL_MACHINE >SOFTWARE >Piriform >Agomo. Hvis Agomo-mappen er til stede, vil der være to værdier, der hedder MUID og TCID. Dette signaliserer, at din maskine faktisk er inficeret.

Det er værd at bemærke, at opdatering af dit system til CCleaner version 5.34 ikke fjerner Agomo-nøglen fra Windows-registreringsdatabasen. Den erstatter kun de ondsindede eksekverbare filer med legitime, så malware ikke længere udgør en trussel. Som sådan, hvis du allerede har opdateret til den nyeste version af CCleaner og ser Agomo Key, er dette ikke noget at være bekymret for.

For enhver, der frygter deres system kan blive inficeret med en version af TR / RedCap.zioqa trojan, er det bedste råd at bruge det gratis malware-detekterings- og fjernelsesværktøj SpyHunter. Alternativt er der en trinvis vejledning til fjernelse af trojanen her.

Meningerne er forfatterens egne.

Titelbillede: Skærmbillede af CCleaner-logoet.

Billedkreditter: dennizn / Shutterstock.com, Vintage Tone / Shutterstock.com, Denis Linine / Shutterstock.com, Iaremenko Sergii / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me