Όλα όσα πρέπει να ξέρετε για το CCleaner Malware Attack

Ειδήσεις έχουν ανακαλυφθεί ότι μια μολυσμένη έκδοση του δημοφιλούς λογισμικού ηλεκτρονικού υπολογιστή και βελτιστοποίησης Android CCleaner έχει εξαπλωθεί malware σε μεγάλο αριθμό χρηστών υπολογιστών. Η αποκάλυψη έπληξε αρχικά τον ιστό το πρωί της Δευτέρας, όταν ο προγραμματιστής του λογισμικού Piriform δημοσίευσε μια δημοσίευση στο blog σχετικά με το θέμα. Τα καλά νέα είναι ότι μόνο οι χρήστες που χρησιμοποιούν το CCleaner σε συστήματα Windows 32-bit επηρεάστηκαν.

Από τότε που ξεκίνησε η ιστορία, η εταιρία ασφάλειας υπολογιστών Avast ανακοίνωσε ότι έως και 2,27 εκατομμύρια χρήστες της CCleaner ενδέχεται να έχουν επηρεαστεί από το κακόβουλο λογισμικό που ήταν κρυμμένο σε επίσημες εκδόσεις του δημοφιλούς λογισμικού βελτιστοποίησης επιδόσεων PC. Από τότε, η έρευνα από τη Cisco αποκάλυψε ότι ο πραγματικός αριθμός λοιμώξεων είναι χαμηλότερος, σε περίπου 700.000 υπολογιστές.

Σύμφωνα με το blog post της Piriform, τα μολυσμένα αντίγραφα της CCleaner διαδόθηκαν μεταξύ 15 Αυγούστου και 12 Σεπτεμβρίου. Η Piriform λέει ότι οι εκδόσεις του λογισμικού που διακυβεύονται είναι CCleaner 5.33.6162 και CCleaner Cloud 1.07.3191.

Το Piriform παροτρύνει όλους τους χρήστες της CCleaner να κατεβάσουν την έκδοση 5.34 ή νεότερη έκδοση το συντομότερο δυνατό. Αξίζει να σημειωθεί ότι οι χρήστες του CCleaner Cloud θα έχουν λάβει την ενημέρωση αυτόματα. Ωστόσο, άλλοι χρήστες της CCleaner ενδέχεται να εξακολουθούν να εκτελούν την παραβιαζόμενη έκδοση, επομένως η ενημέρωση με μη αυτόματο τρόπο είναι εξαιρετικά σημαντική για αυτούς τους καταναλωτές.

Δεν είναι ακόμα γνωστό πώς οι χάκερ κατάφεραν να κρύψουν τον κακόβουλο κώδικα μέσα στην επίσημη έκδοση του CCleaner. Από τη δημοσίευση ιστολογίου του Piriform:

"Διαπιστώσαμε ότι η έκδοση 5.33.6162 της CCleaner και η έκδοση 1.07.3191 του CCleaner Cloud τροποποιήθηκαν παράνομα προτού κυκλοφορήσει στο κοινό και ξεκινήσαμε μια διαδικασία έρευνας. Επίσης επικοινωνήσαμε αμέσως με τις υπηρεσίες επιβολής του νόμου και συνεργαστήκαμε μαζί τους για την επίλυση του ζητήματος. "

"Μη ευαίσθητο" Δεδομένα κλεμμένα

Μέχρι στιγμής, η Piriform κατάφερε να διαπιστώσει ότι το κακόβουλο λογισμικό επικοινωνούσε με ένα διακομιστή εντολών και ελέγχου (CnC) που βρίσκεται στις ΗΠΑ. Οι χάκερ φαίνεται να έχουν χρησιμοποιήσει το κακόβουλο λογισμικό για να συλλέξουν αυτό που η εταιρεία περιγράφει ως "μη ευαίσθητα" δεδομένα.

Αυτά τα δεδομένα περιλαμβάνουν το όνομα του υπολογιστή του χρήστη, τη διεύθυνση IP, μια πλήρη λίστα εγκατεστημένου λογισμικού στο μηχάνημά του, μια λίστα με ενεργό λογισμικό και μια λίστα προσαρμογέων δικτύου. Η Piriform ενημέρωσε τους χρήστες ότι:

"Δεν έχουμε ενδείξεις ότι έχουν αποσταλεί άλλα δεδομένα στο διακομιστή.

"Εργαζόμενοι με την επιβολή του νόμου των ΗΠΑ, προκάλεσε τον τερματισμό της λειτουργίας αυτού του διακομιστή στις 15 Σεπτεμβρίου προτού γίνει οποιαδήποτε γνωστή ζημιά. Θα ήταν εμπόδιο η έρευνα της υπηρεσίας επιβολής του νόμου να έχει δημοσιευθεί με αυτό πριν από την αναπηρία του διακομιστή και ολοκληρώσαμε την αρχική εκτίμησή μας "

Avast

Συμμετοχή της Avast

Είναι ενδιαφέρον ότι ο γίγαντας ασφαλείας Avast (ο οποίος παρέχει προϊόντα ασφαλείας για χρήστες υπολογιστών σε ολόκληρο τον κόσμο) απέκτησε πρόσφατα μόνο τον κατασκευαστή της CCleaner Piriform. Αυτή η εξαγορά ολοκληρώθηκε μόλις πριν από δύο μήνες, τον Ιούλιο του 2017. Για το λόγο αυτό, ο χρονοδιάγραμμα της επίθεσης είναι ένα κομμάτι από ένα κεφάλι-scratcher, τουλάχιστον. Το γεγονός ότι το κακόβουλο λογισμικό το έκανε σε μια επίσημη έκδοση του CCleaner προτού κυκλοφορήσει στο κοινό θα μπορούσε να σημαίνει ότι ο χάκερ δούλευε από μέσα. Μόνο ο χρόνος θα δείξει.

Ένας εκπρόσωπος εκ μέρους της Avast έκανε τα ακόλουθα σχόλια:

"Πιστεύουμε ότι αυτοί οι χρήστες είναι ασφαλείς τώρα καθώς η έρευνά μας δείχνει ότι είχαμε τη δυνατότητα να αφοπλίσουμε την απειλή πριν μπορέσει να κάνει κακό.

"Εκτιμούμε ότι 2,27 εκατομμύρια χρήστες έχουν εγκαταστήσει το λογισμικό που επηρεάζεται σε 32-bit Windows μηχανές."

Μερικά καλά νέα

Παρά μια μεγάλη αρχική εκτίμηση των μολύνσεων, φαίνεται ότι η Piriform ήταν αρκετά τυχερή. Κατά τη στιγμή της απόκτησης της Avast, υποστηρίχθηκε ότι η CCleaner διαθέτει εντυπωσιακούς 130 εκατομμύρια ενεργούς χρήστες, συμπεριλαμβανομένων των 15M στο Android. Λόγω του γεγονότος ότι η μόλυνση περιορίστηκε μόνο σε εκδόσεις του CCleaner που εκτελούνται σε υπολογιστές Windows 32 bit, φαίνεται ότι επηρεάστηκε ένας σχετικά μικρός αριθμός χρηστών της CCleaner (μόλις 700.000 μηχανές, σύμφωνα με τη Cisco).

Εταιρικοί στόχοι

Εταιρικοί στόχοι

Παρά το γεγονός ότι στόχευαν μόνο έναν μικρό αριθμό χρηστών της CCleaner, έχουν προκύψει στοιχεία ότι οι χάκερ προσπαθούσαν ιδιαίτερα να μολύνουν εταιρικούς στόχους. Αυτή η αποκάλυψη αποκαλύφθηκε από ειδικούς ασφαλείας που ανέλυσαν τον διακομιστή CnC που χρησιμοποίησε ο χάκερ.

Οι ερευνητές του τμήματος ασφαλείας της Talos της Cisco υποστηρίζουν ότι έχουν βρει στοιχεία ότι 20 μεγάλες εταιρείες στόχευαν συγκεκριμένα για μόλυνση. Μεταξύ αυτών των επιχειρήσεων είναι η Intel, η Google, η Samsung, η Sony, η VMware, η HTC, η Linksys, η Microsoft, η Akamai, η D-Link και η ίδια η Cisco. Σύμφωνα με την Cisco, σε περίπου μισές από αυτές τις περιπτώσεις, οι χάκερ κατάφεραν να μολύνουν τουλάχιστον μία μηχανή. Αυτό λειτουργούσε ως κερκόπορτα για το διακομιστή CnC για να προσφέρει ένα πιο εξελιγμένο ωφέλιμο φορτίο. Η Cisco πιστεύει ότι η εκμετάλλευση προοριζόταν να χρησιμοποιηθεί για εταιρική κατασκοπεία.

Είναι ενδιαφέρον, σύμφωνα με την Cisco και την Kaspersky, ότι ο κώδικας κακόβουλου λογισμικού που περιέχεται στο CCleaner μοιράζεται κάποιο κώδικα με τα εκμεταλλεύματα που χρησιμοποιούν οι κινεζικοί κυβερνητικοί χάκερ, γνωστοί ως ομάδα 72 ή Axiom. Είναι πολύ νωρίς να το πούμε, αλλά αυτό μπορεί να σημαίνει ότι η cyberattack ήταν μια κρατική χορηγία.

Ο διευθυντής της έρευνας στο Talos, Craig Williams, σχολιάζει,

"Όταν το βρήκαμε αρχικά, γνωρίζαμε ότι είχε μολύνει πολλές εταιρείες. Τώρα γνωρίζουμε ότι αυτό χρησιμοποιήθηκε ως ένα dragnet για να στοχεύσετε αυτές τις 20 εταιρείες σε όλο τον κόσμο ... για να πάρετε τα πόδια σε εταιρείες που έχουν πολύτιμα πράγματα να κλέψουν, συμπεριλαμβανομένης της Cisco δυστυχώς."

Cisco

Πιάστηκε νωρίς

Ευτυχώς, ο Piriform μπόρεσε να εντοπίσει την επίθεση αρκετά νωρίς για να σταματήσει να γίνεται χειρότερη. Ο αντιπρόεδρος της Piriform, Paul Yung, σχολιάζει,

"Σε αυτό το στάδιο, δεν θέλουμε να υποθέσουμε πώς εμφανίστηκε ο μη εξουσιοδοτημένος κώδικας στο λογισμικό CCleaner, από το οποίο προέκυψε η επίθεση, πόσο καιρό προετοιμαζόταν και ποιος ήταν πίσω από αυτό".

Ωστόσο, η Cisco επεσήμανε γρήγορα ότι για τις επιχειρήσεις που απευθύνονται (με τις οποίες έχουν ήδη έρθει σε επαφή) η απλή ενημέρωση του CCleaner μπορεί να μην είναι αρκετή, επειδή το δευτερεύον ωφέλιμο φορτίο μπορεί να αποκρύπτεται στα συστήματά τους. Θα μπορούσε να επικοινωνεί με έναν ξεχωριστό διακομιστή CnC με αυτόν που μέχρι στιγμής έχει αποκαλυφθεί. Αυτό σημαίνει ότι είναι δυνατό να έχουν παραδοθεί ακόμη περισσότερα εκμεταλλεύματα σε αυτά τα μηχανήματα από τους χάκερ.

Για το λόγο αυτό, η Cisco συνιστά να αποκατασταθούν όλες οι δυνητικά μολυσμένες μηχανές λίγο πριν την εγκατάσταση της μολυσμένης έκδοσης του λογισμικού Piriform.

Κλειστό Trojan

TR / RedCap.zioqa

Σύμφωνα με έναν χρήστη της CCleaner, που ονομάζεται Sky87, άνοιξαν την CCleaner την Τρίτη για να ελέγξουν ποια έκδοση είχαν. Σε αυτό το σημείο, το δυαδικό αρχείο 32-bit ήταν άμεσα τοποθετημένο σε καραντίνα με ένα μήνυμα που αναγνωρίζει το κακόβουλο λογισμικό ως TR / RedCap.zioqa. Το TR / RedCap.zioqa είναι ένα trojan που είναι ήδη γνωστό στους ειδικούς ασφαλείας. Η Avira αναφέρεται σε αυτήν ως,

"Ένα άλογο trojan που μπορεί να κατασκοπεύει δεδομένα, να παραβιάζει το απόρρητό σας ή να κάνει ανεπιθύμητες τροποποιήσεις στο σύστημα".

Τι να κάνω

Αν ανησυχείτε για την έκδοση του CCleaner, ελέγξτε το σύστημά σας για ένα κλειδί μητρώου των Windows. Για να το κάνετε αυτό, πηγαίνετε στο: HKEY_LOCAL_MACHINE >ΛΟΓΙΣΜΙΚΟ >Piriform >Agomo. Εάν υπάρχει ο φάκελος Agomo, θα υπάρχουν δύο τιμές, οι οποίες ονομάζονται MUID και TCID. Αυτό σηματοδοτεί ότι η μηχανή σας είναι μολυσμένη.

Αξίζει να σημειωθεί ότι η ενημέρωση του συστήματός σας στο CCleaner έκδοση 5.34 δεν αφαιρεί το κλειδί Agomo από το μητρώο των Windows. Αντικαθιστά μόνο τα κακόβουλα εκτελέσιμα με νόμιμους, έτσι ώστε το κακόβουλο λογισμικό να μην αποτελεί πλέον απειλή. Ως εκ τούτου, εάν έχετε ήδη ενημερώσει την τελευταία έκδοση του CCleaner και δείτε το Agomo Key, αυτό δεν είναι κάτι που σας ανησυχεί.

Για όσους φοβούνται ότι το σύστημά τους θα μπορούσε να μολυνθεί με μια έκδοση του trojan TR / RedCap.zioqa, η καλύτερη συμβουλή είναι να χρησιμοποιήσετε το δωρεάν εργαλείο ανίχνευσης και απομάκρυνσης κακόβουλου λογισμικού SpyHunter. Εναλλακτικά, υπάρχει ένας οδηγός βήμα προς βήμα για την αφαίρεση του trojan εδώ.

Οι απόψεις είναι οι δικές του συγγραφείς.

Πιστωτική εικόνα τίτλου: Στιγμιότυπο από το λογότυπο CCleaner.

Πιστωτικές κάρτες: dennizn / Shutterstock.com, Vintage Tone / Shutterstock.com, Denis Linine / Shutterstock.com, Iaremenko Sergii / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me