كل ما تحتاج لمعرفته حول هجوم البرامج الضارة لـ CCleaner

ظهرت أخبار تفيد بأن هناك نسخة مصابة من جهاز الكمبيوتر الشهير وبرنامج تحسين Android الذي يعمل بنظام CCleaner يقوم بنشر البرامج الضارة على أعداد كبيرة من مستخدمي الكمبيوتر. وصل الوحي لأول مرة إلى شبكة الإنترنت صباح الاثنين ، عندما نشر مطور البرنامج Piriform منشورًا مدونًا حول هذا الموضوع. والخبر السار هو أن الأشخاص الذين يقومون بتشغيل CCleaner فقط على أنظمة Windows 32 بت قد تأثروا.

منذ اندلاع القصة ، أعلنت شركة أمان الكمبيوتر Avast أن ما يصل إلى 2.27 مليون مستخدم من مستخدمي كلنر ربما تأثروا بالبرمجيات الخبيثة التي كانت مخبأة في الإصدارات الرسمية لبرنامج تحسين أداء الكمبيوتر الشخصي الشهير. منذ ذلك الحين ، كشفت الأبحاث التي أجرتها شركة سيسكو أن العدد الحقيقي للعدوى أقل ، حيث يبلغ حوالي 700000 جهاز كمبيوتر.

وفقًا لنشر مدونة Piriform ، تم نشر نسخ مصابة من كلنر بين 15 أغسطس و 12 سبتمبر. يقول Piriform أن إصدارات البرامج التي تم اختراقها هي CCleaner 5.33.6162 و CCleaner Cloud 1.07.3191.

يحث Piriform جميع مستخدمي CCleaner على تنزيل الإصدار 5.34 أو أعلى في أسرع وقت ممكن. تجدر الإشارة إلى أن مستخدمي CCleaner Cloud سيتلقون التحديث تلقائيًا. ومع ذلك ، ربما لا يزال مستخدمو CCleaner يستخدمون الإصدار المخترق ، لذا فإن التحديث يدويًا مهم للغاية لهؤلاء المستهلكين.

لم يُعرف بعد كيف نجح المتسللون في إخفاء الشفرة الخبيثة داخل النسخة الرسمية من CCleaner. من منشور مدونة Piriform:

"وجدنا أن الإصدار 5.33.6162 من CCleaner ونسخة 1.07.3191 من CCleaner Cloud تم تعديلهما بشكل غير قانوني قبل إصداره للجمهور ، وبدأنا عملية تحقيق. كما اتصلنا على الفور بوحدات إنفاذ القانون وعملنا معهم على حل المشكلة ".

"غير حساسة" البيانات المسروقة

حتى الآن ، تمكن Piriform من التأكد من أن البرامج الضارة كانت تتصل بخادم Command and Control (CnC) الموجود في الولايات المتحدة. يبدو أن المتسللين قد استخدموا البرامج الضارة لجني ما تصفه الشركة بالبيانات "غير الحساسة".

تتضمن تلك البيانات اسم كمبيوتر المستخدم وعنوان IP وقائمة شاملة من البرامج المثبتة على أجهزتهم وقائمة البرامج النشطة وقائمة محولات الشبكة. أبلغ Piriform المستخدمين بما يلي:

ليس لدينا أي مؤشرات على إرسال أي بيانات أخرى إلى الخادم.

"بالعمل مع تطبيق القانون الأمريكي ، تسببنا في إيقاف تشغيل هذا الخادم في 15 سبتمبر قبل حدوث أي ضرر معروف. كان من العوائق التي تحول دون تحقيق وكالة إنفاذ القانون نشر هذا الأمر قبل تعطيل الخادم وإكمال تقييمنا الأولي ، "

أفاست

مشاركة أفاست

ومن المثير للاهتمام ، أن شركة Avast العملاقة للأمن (التي توفر منتجات أمنية لمستخدمي الكمبيوتر في جميع أنحاء العالم) استحوذت مؤخراً على Piriform لمطور CCleaner. تم الانتهاء من عملية الاستحواذ هذه منذ شهرين فقط ، في يوليو 2017. ولهذا السبب ، فإن توقيت الهجوم قليل من الخدش ، على أقل تقدير. حقيقة أن البرمجيات الخبيثة جعلت من نسخة رسمية من CCleaner قبل أن يتم إطلاقها للجمهور يمكن أن يعني أن المتسلل كان يعمل من الداخل. فقط الوقت كفيل بإثبات.

أدلى متحدث باسم Avast بالتعليقات التالية:

"نعتقد أن هؤلاء المستخدمين آمنون الآن لأن تحقيقنا يشير إلى أننا كنا قادرين على نزع سلاح التهديد قبل أن يتمكن من إحداث أي ضرر.

"نحن نقدر أن 2.27 مليون مستخدم تم تثبيت البرنامج المتأثر على أجهزة Windows 32 بت."

بعض الأخبار الجيدة

على الرغم من التقدير الأولي الكبير للعدوى ، يبدو أن Piriform كان محظوظًا جدًا. في وقت الاستحواذ على Avast ، زُعم أن CCleaner لديها 130 مليون مستخدم نشط ، بما في ذلك 15M على Android. نظرًا لحقيقة أن الإصابة كانت مقصورة فقط على إصدارات CCleaner التي تعمل على أجهزة الكمبيوتر التي تعمل بنظام Windows 32 بت ، يبدو أن عددًا صغيرًا نسبيًا من مستخدمي CCleaner قد تأثر (700،000 جهاز فقط ، وفقًا لسيسكو).

أهداف الشركة

أهداف الشركة

على الرغم من استهداف عدد قليل فقط من مستخدمي CCleaner ، فقد ظهرت أدلة الآن على أن المتسللين كانوا يحاولون بشكل خاص إصابة أهداف الشركة. تم الكشف عن هذا الوحي من قبل خبراء الأمن الذين حللوا خادم CnC المستخدمة من قبل القراصنة.

يدعي الباحثون في قسم الأمن في تالوس في سيسكو أنهم وجدوا أدلة على أن 20 شركة كبيرة كانت مستهدفة على وجه التحديد بالعدوى. ومن بين تلك الشركات ، Intel و Google و Samsung و Sony و VMware و HTC و Linksys و Microsoft و Akamai و D-Link و Cisco نفسها. وفقا لشركة سيسكو ، في حوالي نصف هذه الحالات ، تمكن المتسللين من إصابة جهاز واحد على الأقل. هذا بمثابة مستتر لخادم CnC لتقديم حمولة أكثر تطورا. تعتقد Cisco أن الاستغلال كان مخصصًا للتجسس على الشركات.

ومن المثير للاهتمام ، وفقًا لكل من Cisco و Kaspersky ، أن رمز البرمجيات الخبيثة الموجودة في CCleaner يشارك بعض الكودات مع مآثر تستخدمها قراصنة الحكومة الصينية المعروفون باسم Group 72 ، أو Axiom. من السابق لأوانه معرفة ذلك ، لكن هذا قد يعني أن الهجوم الإلكتروني كان عملية ترعاها الدولة.

مدير الأبحاث في Talos ، كريغ ويليامز ، تعليقات,

"عندما وجدنا هذا في البداية ، عرفنا أنه قد أصاب الكثير من الشركات. نحن نعلم الآن أن هذا كان يستخدم كشبكة اتصال لاستهداف هذه الشركات العشرين في جميع أنحاء العالم ... للحصول على موطئ قدم في الشركات التي لديها أشياء ثمينة لسرقة ، بما في ذلك Cisco للأسف."

سيسكو

اشتعلت في وقت مبكر

لحسن الحظ ، تمكن Piriform من اكتشاف الهجوم مبكرًا بما يكفي لمنعه من أن يصبح أسوأ بكثير. نائب رئيس Piriform ، بول يونغ ، يعلق,

"في هذه المرحلة ، لا نريد التكهن بكيفية ظهور الرمز غير المصرح به في برنامج CCleaner ، حيث نشأ الهجوم ، ومدة الاستعداد له ومن يقف وراءه."

ومع ذلك ، كانت Cisco سريعة للإشارة إلى أنه بالنسبة للشركات المستهدفة (الذين اتصلت بهم بالفعل) ، قد لا يكفي مجرد تحديث CCleaner ، لأن الحمولة الثانوية قد يتم إخفاؤها ضمن أنظمتها. قد يكون الاتصال بخادم CnC منفصل إلى الخادم الذي تم الكشف عنه حتى الآن. هذا يعني أنه من الممكن أن يتم استغلال المزيد من عمليات الاستغلال هذه على أيدي المتسللين.

لهذا السبب ، توصي شركة Cisco باستعادة جميع الأجهزة التي يحتمل أن تكون مصابة قبل فترة من تثبيت الإصدار الملوث من برنامج Piriform عليها.

كلنر طروادة

TR / RedCap.zioqa

وفقًا لمستخدم CCleaner ، يُسمى Sky87 ، فتحوا CCleaner يوم الثلاثاء للتحقق من الإصدار الذي لديهم. في تلك المرحلة ، تم عزل الحجر الثنائي 32 بت على الفور برسالة تحدد البرامج الضارة على أنها TR / RedCap.zioqa. TR / RedCap.zioqa هي حصان طروادة المعروف بالفعل لدى خبراء الأمن. أفيرا يشير إليها باسم,

"حصان طروادة قادر على تجسس البيانات أو انتهاك خصوصيتك أو إجراء تعديلات غير مرغوب فيها على النظام."

ماذا أفعل

إذا كنت قلقًا بشأن إصدار CCleaner ، فتحقق من نظامك للحصول على مفتاح تسجيل Windows. للقيام بذلك ، انتقل إلى: HKEY_LOCAL_MACHINE >البرمجيات >الكمثرية >Agomo. إذا كان مجلد Agomo موجودًا ، فستكون هناك قيمتان ، تسمى MUID و TCID. هذا يشير إلى أن جهازك مصاب بالفعل.

تجدر الإشارة إلى أن تحديث النظام الخاص بك إلى CCleaner الإصدار 5.34 لا يزيل مفتاح Agomo من سجل Windows. يستبدل فقط الملفات التنفيذية الخبيثة بأخرى مشروعة ، بحيث لم تعد البرامج الضارة تشكل تهديدًا. على هذا النحو ، إذا كنت قد قمت بالفعل بالتحديث إلى أحدث إصدار من CCleaner ورؤية مفتاح Agomo ، فهذا ليس شيئًا يثير القلق بشأن.

لأي شخص يخشى أن يصاب نظامه بإصدار من TR / RedCap.zioqa طروادة ، فإن أفضل نصيحة هي استخدام أداة SpyHunter المجانية للكشف عن البرامج الضارة وإزالتها. بدلاً من ذلك ، هناك دليل خطوة بخطوة لإزالة طروادة هنا.

الآراء هي الكاتب الخاص.

عنوان صورة الائتمان: لقطة شاشة لشعار CCleaner.

أرصدة الصورة: dennizn / Shutterstock.com ، Vintage Tone / Shutterstock.com ، Denis Linine / Shutterstock.com ، Iaremenko Sergii / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me