Alt du trenger å vite om CCleaner Malware Attack

Nyheter har kommet frem at en infisert versjon av den populære PC- og Android-optimaliseringsprogramvaren CCleaner har spredt skadelig programvare til et stort antall databrukere. Avsløringen traff først på nettet mandag morgen, da programvareutvikleren Piriform publiserte et blogginnlegg om emnet. Den gode nyheten er at bare folk som kjører CCleaner på 32-biters Windows-systemer ble berørt.

Siden historien for første gang brøt, har datasikkerhetsfirmaet Avast kunngjort at opptil 2,27 millioner CCleaner-brukere kan ha blitt påvirket av skadelig programvare som var skjult i offisielle versjoner av den populære PC-ytelsesoptimaliseringsprogramvaren. Siden den gang har forskning fra Cisco avslørt at det sanne antallet infeksjoner er lavere, på rundt 700 000 PC-er.

I følge blogginnlegget fra Piriform ble smittede kopier av CCleaner spredt mellom 15. august og 12. september. Piriform sier at versjonene av programvaren som ble kompromittert er CCleaner 5.33.6162 og CCleaner Cloud 1.07.3191.

Piriform oppfordrer alle CCleaner-brukere til å laste ned versjon 5.34 eller høyere så snart som mulig. Det er verdt å merke seg at brukere av CCleaner Cloud vil ha mottatt oppdateringen automatisk. Imidlertid kan det hende at andre CCleaner-brukere fremdeles kjører den kompromitterte versjonen, så oppdatering manuelt er ekstremt viktig for disse forbrukerne.

Det er foreløpig ikke kjent hvordan hackere klarte å skjule den ondsinnede koden i den offisielle versjonen av CCleaner. Fra Piriforms blogginnlegg:

"Vi fant ut at 5.33.6162-versjonen av CCleaner og 1.07.3191-versjonen av CCleaner Cloud var ulovlig endret før den ble gitt ut for publikum, og vi startet en etterforskningsprosess. Vi tok også umiddelbart kontakt med rettshåndhevelsesenheter og jobbet med dem for å løse problemet. ”

"Ikke følsom" Data stjålet

Så langt har Piriform kunnet konstatere at skadelig programvare kommuniserte med en Command and Control (CnC) server lokalisert i USA. Det ser ut til at hackere har brukt skadelig programvare for å høste det firmaet beskriver som "ikke-sensitive" data.

Disse dataene inkluderer brukerens datamaskinnavn, IP-adresse, en omfattende liste over installert programvare på maskinen deres, en liste over aktiv programvare og liste over nettverkskort. Piriform har informert brukere om at:

“Vi har ingen indikasjoner på at andre data er sendt til serveren.

"Arbeidet med amerikansk rettshåndhevelse fikk vi til at denne serveren ble lagt ned 15. september før noen kjent skade ble gjort. Det ville vært et hinder for advokatbyråets etterforskning å ha blitt offentlig med dette før serveren ble deaktivert og vi fullførte vår første vurdering, "

Avast

Avasts engasjement

Interessant nok har sikkerhetsgiganten Avast (som leverer sikkerhetsprodukter for databrukere over hele verden) bare nylig kjøpt CCleaners utvikler Piriform. Det oppkjøpet ble avsluttet for bare to måneder siden, i juli 2017. Av denne grunn er tidspunktet for angrepet litt av en hode-skraver, for å si det mildt. Det faktum at skadelig programvare gjorde det til en offisiell versjon av CCleaner før den ble utgitt for publikum, kan bety at hackeren fungerte fra innsiden. Bare tiden vil vise.

En talsperson på vegne av Avast har kommet med følgende kommentarer:

"Vi tror at disse brukerne er trygge nå, da vår undersøkelse indikerer at vi var i stand til å avvæpne trusselen før den kunne gjøre noen skade.

"Vi anslår at 2,27 millioner brukere hadde den berørte programvaren installert på 32-biters Windows-maskiner."

Noen gode nyheter

Til tross for et stort innledende estimat av infeksjoner, ser det ut til at Piriform har vært ganske heldig. På det tidspunktet Avast ble anskaffet, ble det hevdet at CCleaner har hele 130 millioner aktive brukere, inkludert 15 millioner på Android. På grunn av det faktum at infeksjonen bare var begrenset til versjoner av CCleaner som kjørte på 32-bit Windows PC-er, ser det ut til at et relativt lite antall CCleaner-brukere ble berørt (bare 700 000 maskiner, ifølge Cisco).

Bedriftsmål

Bedriftsmål

Til tross for at de bare hadde målrettet et lite antall CCleaner-brukere, har det nå kommet bevis for at hackerne veldig spesifikt forsøkte å infisere bedriftens mål. Denne avsløringen ble avdekket av sikkerhetseksperter som analyserte CnC-serveren som ble brukt av hackeren.

Forskere ved Ciscos sikkerhetsdivisjon Talos hevder de har funnet bevis for at 20 store selskaper var spesielt målrettet mot smitte. Blant disse firmaene er Intel, Google, Samsung, Sony, VMware, HTC, Linksys, Microsoft, Akamai, D-Link og Cisco selv. I følge Cisco, i omtrent halvparten av disse tilfellene, klarte hackerne å infisere minst en maskin. Dette fungerte som en bakdør for deres CnC-server for å levere en mer sofistikert nyttelast. Cisco mener utnyttelsen var ment å bli brukt til bedriftsspionasje.

Interessant nok, i henhold til både Cisco og Kaspersky, deler malware-koden i CCleaner noe kode med utnyttelser brukt av kinesiske regjeringshackere kjent som Group 72, eller Axiom. Det er for tidlig å si fra, men dette kan bety at cyberattacken var en statsstøttet operasjon.

Forskningssjef i Talos, Craig Williams, kommenterer,

"Da vi fant dette innledningsvis, visste vi at det hadde smittet mange selskaper. Nå vet vi at dette ble brukt som en dragnet for å målrette mot disse 20 selskapene over hele verden ... for å få fotfeste i selskaper som har verdifulle ting å stjele, inkludert Cisco dessverre."

Cisco

Fanget tidlig

Heldigvis kunne Piriform oppdage angrepet tidlig nok til å forhindre at det ble mye verre. Piriforms visepresident, Paul Yung, kommenterer,

"På dette stadiet ønsker vi ikke å spekulere i hvordan den uautoriserte koden dukket opp i CCleaner-programvaren, hvor angrepet stammer fra, hvor lenge det ble forberedt og hvem som sto bak det."

Imidlertid var Cisco raskt med å påpeke at det for bedrifter som var målrettet (som de allerede har kontaktet), det ikke er nok å oppdatere CCleaner, fordi den sekundære nyttelasten kan være skjult i systemene deres. Det kan være kommunikasjon med en egen CnC-server til den som hittil er avdekket. Det betyr at det er mulig at enda flere utnyttelser har blitt levert til disse maskinene av hackerne.

Av denne grunn anbefaler Cisco at alle potensielt infiserte maskiner gjenopprettes til en tid før den forurensede versjonen av Piriforms programvare ble installert på dem.

Cclener Trojan

TR / RedCap.zioqa

Ifølge en CCleaner-bruker, kalt Sky87, åpnet de CCleaner på tirsdag for å sjekke hvilken versjon de hadde. På det tidspunktet ble 32-biters binæren øyeblikkelig i karantene med en melding som identifiserte skadelig programvare som TR / RedCap.zioqa. TR / RedCap.zioqa er en trojan som allerede er godt kjent for sikkerhetseksperter. Avira refererer til det som,

"En trojansk hest som er i stand til å spionere ut data, krenke personvernet ditt eller utføre uønskede modifikasjoner på systemet."

Hva å gjøre

Hvis du er bekymret for din versjon av CCleaner, sjekk systemet ditt for en Windows-registernøkkel. For å gjøre dette, gå til: HKEY_LOCAL_MACHINE >SOFTWARE >piriform >Agomo. Hvis Agomo-mappen er til stede, vil det være to verdier, kalt MUID og TCID. Dette signaliserer at maskinen din faktisk er infisert.

Det er verdt å merke seg at oppdatering av systemet til CCleaner versjon 5.34 ikke fjerner Agomo-nøkkelen fra Windows-registeret. Den erstatter bare ondsinnede kjørbare filer med legitime, slik at skadelig programvare ikke lenger utgjør en trussel. Som sådan, hvis du allerede har oppdatert til den nyeste versjonen av CCleaner og ser Agomo Key, er dette ikke noe å være opptatt av.

For alle som frykter at systemet deres kan bli smittet med en versjon av TR / RedCap.zioqa trojan, er det beste rådet å bruke det gratis verktøy for gjenkjenning og fjerning av skadelig programvare SpyHunter. Alternativt er det en trinnvis guide for å fjerne trojanen her.

Meninger er forfatterens egne.

Tittelbilde: Skjermbilde av CCleaner-logoen.

Bildekreditt: dennizn / Shutterstock.com, Vintage Tone / Shutterstock.com, Denis Linine / Shutterstock.com, Iaremenko Sergii / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me