CCleaner Malware Attackについて知っておくべきことすべて

人気のあるPCおよびAndroid最適化ソフトウェアCCleanerの感染バージョンが多数のコンピューターユーザーにマルウェアを拡散しているというニュースが登場しました. この啓示は、ソフトウェア開発者のPiriformがこのテーマに関するブログ投稿を公開した月曜日の朝に最初にウェブにヒットしました。良いニュースは、32ビットWindowsシステムでCCleanerを実行している人だけが影響を受けたことです。.


ストーリーが最初に壊れて以来、コンピューターセキュリティ会社Avastは、最大227万人のCCleanerユーザーが、人気のあるPCパフォーマンス最適化ソフトウェアの公式バージョンに隠されたマルウェアの影響を受けた可能性があると発表しました。それ以来、シスコの調査によると、実際の感染数は少なく、約700,000台のPCであることが判明しています。.

Piriformのブログ投稿によると、感染したCCleanerのコピーは8月15日から9月12日の間に広まった。 Piriformは、侵害されたソフトウェアのバージョンはCCleaner 5.33.6162およびCCleaner Cloud 1.07.3191であると述べています.

Piriformは、すべてのCCleanerユーザーにバージョン5.34以降をできるだけ早くダウンロードするように促しています。 CCleaner Cloudのユーザーがアップデートを自動的に受信することに注意してください。ただし、他のCCleanerユーザーは依然として侵害されたバージョンを実行している可能性があるため、これらの消費者にとって手動で更新することは非常に重要です.

ハッカーが公式バージョンのCCleaner内で悪意のあるコードをどのように隠したかはまだわかっていません。 Piriformのブログ投稿から:

「CCleanerの5.33.6162バージョンとCCleaner Cloudの1.07.3191バージョンは、公開前に違法に変更されていることがわかり、調査プロセスを開始しました。また、すぐに法執行部に連絡し、問題の解決に取り組みました。」

"非機密" 盗まれたデータ

これまで、Piriformは、マルウェアが米国にあるコマンドアンドコントロール(CnC)サーバーと通信していたことを確認できました。ハッカーはマルウェアを使用して、企業が「非機密」データと呼ぶものを収集しているようです.

このデータには、ユーザーのコンピューター名、IPアドレス、マシンにインストールされているソフトウェアの包括的なリスト、アクティブなソフトウェアのリスト、ネットワークアダプターのリストが含まれます。 Piriformは、ユーザーに次のことを通知しています。

「他のデータがサーバーに送信されたことを示す兆候はありません.

「米国の法執行機関と協力して、既知の損害が発生する前の9月15日にこのサーバーをシャットダウンしました。サーバーが無効になり、初期評価が完了する前にこれを公表することは、法執行機関の調査の障害になっていたでしょう。」

アバスト

アバストの関与

興味深いことに、セキュリティ大手のアバスト(世界中のコンピューターユーザーにセキュリティ製品を提供)は、最近CCleanerの開発者Piriformを買収しました。この買収はわずか2か月前の2017年7月に完了しました。このため、攻撃のタイミングは控えめに言っても少々頭を痛めています。マルウェアが一般公開される前にCCleanerの公式バージョンに組み込まれたという事実は、ハッカーが内部から作業していることを意味する可能性があります。時間だけが教えてくれます.

アバストを代表するスポークスマンは次のコメントを行いました。

「調査の結果、脅威を害する前に武装を解除できたため、これらのユーザーは安全であると考えています。.

「227万人のユーザーが、影響を受けるソフトウェアを32ビットWindowsマシンにインストールしたと推定しています。」

いくつかの良いニュース

感染の初期推定値は大きいにもかかわらず、Piriformは非常に幸運だったようです。アバストが買収された時点で、CCleanerには1億3千万人のアクティブユーザーがいると主張されていました。感染は32ビットWindows PCで実行されているCCleanerのバージョンに限定されていたため、比較的少数のCCleanerユーザーが影響を受けたようです(Ciscoによると、700,000台のマシンのみ)。.

企業目標

企業目標

少数のCCleanerユーザーのみをターゲットにしたにもかかわらず、ハッカーが企業ターゲットを非常に具体的に感染させようとしているという証拠が明らかになりました。この啓示は、ハッカーが使用したCnCサーバーを分析したセキュリティ専門家によって明らかにされました。.

シスコのTalosセキュリティ部門の研究者は、20の大企業が感染の標的にされたという証拠を発見したと主張しています。これらの企業には、Intel、Google、Samsung、Sony、VMware、HTC、Linksys、Microsoft、Akamai、D-Link、Cisco自体が含まれます。シスコによると、これらのケースの約半分で、ハッカーは少なくとも1台のマシンに感染しました。これは、CnCサーバーのバックドアとして機能し、より洗練されたペイロードを配信します。シスコは、エクスプロイトが企業のスパイ活動に使用されることを意図していたと考えています.

興味深いことに、CiscoとKasperskyの両方によると、CCleanerに含まれるマルウェアコードは、Group 72またはAxiomとして知られる中国政府のハッカーが使用するエクスプロイトとコードを共有しています。伝えるのは時期尚早ですが、これはサイバー攻撃が国営の操作であったことを意味する場合があります.

タロスの研究マネージャー、クレイグ・ウィリアムズ、コメント,

"これを最初に発見したとき、多くの企業に感染していることがわかりました。現在、これは世界中の20社を標的とするドラッグネットとして使用されていることがわかりました...残念ながら、Ciscoを含む貴重なものを盗む会社の足がかりを得るため."

シスコ

早くキャッ​​チ

ありがたいことに、Piriformは、攻撃がさらに悪化するのを防ぐのに十分な早さで攻撃を発見できました。 Piriformの副社長Paul Yungはコメント,

「この段階では、CCleanerソフトウェアに不正コードがどのように出現したか、攻撃の発生源、準備期間、およびその背後にいた人物を推測したくありません。」

ただし、シスコは、標的にされた企業(既に連絡を取っている企業)の場合、セカンダリペイロードがシステム内に隠されている可能性があるため、CCleanerを更新するだけでは不十分であるとすぐに指摘しました。これまでに発見されたものとは別のCnCサーバーと通信している可能性があります。つまり、ハッカーによってこれらのマシンにさらに多くのエクスプロイトが配信された可能性があります。.

このため、シスコは、感染した可能性のあるすべてのマシンを、汚染されたバージョンのPiriformのソフトウェアがインストールされる前の時間に復元することを推奨しています。.

Cclener Trojan

TR / RedCap.zioqa

Sky87と呼ばれるCCleanerの1人のユーザーによると、彼らは火曜日にCCleanerを開いて、所有しているバージョンを確認しました。その時点で、32ビットのバイナリはマルウェアをTR / RedCap.zioqaとして識別するメッセージで即座に隔離されました。 TR / RedCap.zioqaは、セキュリティの専門家に既によく知られているトロイの木馬です。 Aviraはそれを,

「データをスパイしたり、プライバシーを侵害したり、システムに不要な変更を加えたりできるトロイの木馬。」

何をすべきか

CCleanerのバージョンが心配な場合は、システムのWindowsレジストリキーを確認してください。これを行うには、HKEY_LOCAL_MACHINEにアクセスします >ソフトウェア >梨状 >あごも。 Agomoフォルダーが存在する場合、MUIDとTCIDという2つの値があります。これは、マシンが実際に感染していることを示します.

システムをCCleanerバージョン5.34に更新しても、WindowsレジストリからAgomoキーが削除されないことに注意してください。悪意のある実行可能ファイルを正当なものに置き換えるだけであるため、マルウェアが脅威を引き起こすことはありません。そのため、CCleanerの最新バージョンにすでに更新していて、Agomo Keyが表示されている場合、これは心配することではありません.

システムがTR / RedCap.zioqaトロイの木馬のバージョンに感染するのを恐れる人にとっては、無料のマルウェア検出および削除ツールSpyHunterを使用することをお勧めします。または、トロイの木馬を削除するためのステップバイステップガイドがここにあります.

意見は作家自身のものです.

タイトル画像のクレジット:CCleanerロゴのスクリーンショット.

画像クレジット:dennizn / Shutterstock.com、Vintage Tone / Shutterstock.com、Denis Linine / Shutterstock.com、Iaremenko Sergii / Shutterstock.com

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

31 − 22 =

map