Alles wat u moet weten over de CCleaner Malware-aanval

Nieuws is naar voren gekomen dat een geïnfecteerde versie van de populaire pc- en Android-optimalisatiesoftware CCleaner malware verspreidt naar een groot aantal computergebruikers. De onthulling kwam voor het eerst op het web op maandagochtend, toen de ontwikkelaar van de software Piriform een ​​blogpost publiceerde over het onderwerp. Het goede nieuws is dat alleen mensen die CCleaner op 32-bits Windows-systemen draaien, getroffen zijn.

Sinds het verhaal voor het eerst uitbrak, heeft het computerbeveiligingsbedrijf Avast aangekondigd dat tot 2,27 miljoen CCleaner-gebruikers mogelijk zijn getroffen door de malware die verborgen was in officiële versies van de populaire pc-prestatiesoptimalisatiesoftware. Sindsdien heeft onderzoek van Cisco aangetoond dat het werkelijke aantal infecties lager is, op ongeveer 700.000 pc's.

Volgens de blogpost van Piriform werden geïnfecteerde exemplaren van CCleaner verspreid tussen 15 augustus en 12 september. Piriform zegt dat de aangetaste versies van zijn software CCleaner 5.33.6162 en CCleaner Cloud 1.07.3191 zijn.

Piriform spoort alle CCleaner-gebruikers aan om versie 5.34 of hoger zo snel mogelijk te downloaden. Het is vermeldenswaard dat gebruikers van CCleaner Cloud de update automatisch hebben ontvangen. Andere CCleaner-gebruikers kunnen echter nog steeds de gecompromitteerde versie gebruiken, dus handmatig bijwerken is uiterst belangrijk voor die consumenten.

Het is nog niet bekend hoe hackers de kwaadaardige code in de officiële versie van CCleaner hebben kunnen verbergen. Uit het blogbericht van Piriform:

“We ontdekten dat de 5.33.6162-versie van CCleaner en de 1.07.3191-versie van CCleaner Cloud illegaal waren gewijzigd voordat deze openbaar werd gemaakt, en we begonnen een onderzoeksproces. We hebben ook onmiddellijk contact opgenomen met wetshandhavingsinstanties en met hen samengewerkt om het probleem op te lossen. "

"Niet gevoelig" Gegevens gestolen

Tot nu toe heeft Piriform kunnen vaststellen dat de malware communiceerde met een Command and Control (CnC) -server in de VS. Hackers lijken de malware te hebben gebruikt om te oogsten wat het bedrijf beschrijft als 'niet-gevoelige' gegevens.

Die gegevens omvatten de computernaam van de gebruiker, het IP-adres, een uitgebreide lijst met geïnstalleerde software op hun computer, een lijst met actieve software en een lijst met netwerkadapters. Piriform heeft gebruikers geïnformeerd dat:

“We hebben geen aanwijzingen dat er andere gegevens naar de server zijn verzonden.

“In samenwerking met de Amerikaanse wetshandhaving hebben we ervoor gezorgd dat deze server op 15 september werd afgesloten voordat bekend kwaad werd gedaan. Het zou een belemmering voor het onderzoek van de wetshandhavingsinstantie zijn geweest om hiermee bekend te zijn gemaakt voordat de server werd uitgeschakeld en we onze eerste beoordeling hadden voltooid, "

avast

De betrokkenheid van Avast

Interessant is dat de beveiligingsgigant Avast (die beveiligingsproducten voor computergebruikers wereldwijd levert) pas recentelijk de ontwikkelaar Piriform van CCleaner heeft overgenomen. Die acquisitie werd slechts twee maanden geleden afgerond, in juli 2017. Om deze reden is de timing van de aanval op zijn zachtst gezegd een beetje een scratch. Het feit dat de malware op een officiële versie van CCleaner is terechtgekomen voordat deze aan het publiek werd vrijgegeven, zou kunnen betekenen dat de hacker van binnenuit werkte. De tijd zal het leren.

Een woordvoerder namens Avast heeft de volgende opmerkingen gemaakt:

“Wij geloven dat deze gebruikers nu veilig zijn, omdat ons onderzoek aangeeft dat we de dreiging konden uitschakelen voordat deze schade kon aanrichten.

"We schatten dat 2,27 miljoen gebruikers de betreffende software hadden geïnstalleerd op 32-bit Windows-machines."

Wat goed nieuws

Ondanks een grote eerste schatting van infecties lijkt het erop dat Piriform veel geluk heeft gehad. Ten tijde van de overname van Avast werd beweerd dat CCleaner maar liefst 130 miljoen actieve gebruikers heeft, waaronder 15 miljoen op Android. Vanwege het feit dat de infectie alleen was beperkt tot versies van CCleaner die op 32-bits Windows-pc's draaien, lijkt het erop dat een relatief klein aantal CCleaner-gebruikers is getroffen (volgens Cisco slechts 700.000 machines).

Bedrijfsdoelen

Bedrijfsdoelen

Ondanks het feit dat ze slechts een klein aantal CCleaner-gebruikers hebben getarget, is er nu bewijs dat de hackers heel specifiek probeerden bedrijfsdoelen te infecteren. Deze onthulling werd ontdekt door beveiligingsexperts die de CnC-server analyseerden die door de hacker werd gebruikt.

Onderzoekers van de Talos-beveiligingsdivisie van Cisco beweren dat ze bewijs hebben gevonden dat 20 grote bedrijven specifiek op infecties waren gericht. Onder deze bedrijven bevinden zich Intel, Google, Samsung, Sony, VMware, HTC, Linksys, Microsoft, Akamai, D-Link en Cisco zelf. Volgens Cisco wisten de hackers in ongeveer de helft van die gevallen minstens één machine te infecteren. Dit fungeerde als een achterdeur voor hun CnC-server om een ​​meer geavanceerde lading te leveren. Cisco gelooft dat exploit bedoeld was om te worden gebruikt voor bedrijfsspionage.

Interessant is dat, volgens zowel Cisco als Kaspersky, de malwarecode in CCleaner bepaalde code deelt met exploits die worden gebruikt door Chinese overheidshackers die bekend staan ​​als Group 72 of Axiom. Het is te vroeg om te zeggen, maar dit kan betekenen dat de cyberaanval een door de staat gesponsorde operatie was.

Onderzoeksmanager bij Talos, Craig Williams, opmerkingen,

"Toen we dit aanvankelijk vonden, wisten we dat het veel bedrijven had besmet. Nu weten we dat dit werd gebruikt als dragnet om deze 20 bedrijven wereldwijd te targeten ... om voet aan de grond te krijgen in bedrijven die waardevolle dingen te stelen hebben, waaronder Cisco helaas."

Cisco

Vroeg gevangen

Gelukkig kon Piriform de aanval vroeg genoeg zien om te voorkomen dat het veel erger werd. De vice-president van Piriform, Paul Yung, merkt op,

"In dit stadium willen we niet speculeren hoe de ongeautoriseerde code in de CCleaner-software is verschenen, waar de aanval vandaan kwam, hoe lang deze werd voorbereid en wie erachter stond."

Cisco wees er echter snel op dat voor bedrijven die het doelwit waren (met wie ze al contact hebben opgenomen), het eenvoudigweg bijwerken van CCleaner misschien niet voldoende is, omdat de secundaire payload in hun systemen verborgen kan zijn. Het kan communiceren met een afzonderlijke CnC-server naar degene die tot nu toe is ontdekt. Dat betekent dat het mogelijk is dat nog meer exploits door die hackers op die machines zijn afgeleverd.

Om deze reden beveelt Cisco aan dat alle mogelijk geïnfecteerde machines worden hersteld tot een tijd voordat de besmette versie van de software van Piriform erop werd geïnstalleerd.

Cclener Trojan

TR / RedCap.zioqa

Volgens een CCleaner-gebruiker, Sky87 genaamd, hebben ze dinsdag CCleaner geopend om te controleren welke versie ze hadden. Op dat moment werd het 32-bits binaire bestand onmiddellijk in quarantaine geplaatst met een bericht dat de malware identificeerde als TR / RedCap.zioqa. TR / RedCap.zioqa is een trojan die al bekend is bij beveiligingsexperts. Avira noemt het als,

"Een trojaans paard dat in staat is om gegevens te bespioneren, uw privacy te schenden of ongewenste wijzigingen aan het systeem door te voeren."

Wat te doen

Als u zich zorgen maakt over uw versie van CCleaner, controleert u uw systeem op een Windows-registersleutel. Ga hiervoor naar: HKEY_LOCAL_MACHINE >SOFTWARE >Piriform >Agomo. Als de map Agomo aanwezig is, zijn er twee waarden, genaamd MUID en TCID. Dit geeft aan dat uw machine inderdaad is geïnfecteerd.

Het is vermeldenswaard dat het bijwerken van uw systeem naar CCleaner versie 5.34 de Agomo-sleutel niet uit het Windows-register verwijdert. Het vervangt alleen de schadelijke uitvoerbare bestanden door legitieme, zodat de malware niet langer een bedreiging vormt. Als u dus al hebt bijgewerkt naar de nieuwste versie van CCleaner en de Agomo Key ziet, hoeft u zich hier geen zorgen over te maken.

Voor iedereen die bang is dat hun systeem kan worden geïnfecteerd met een versie van de trojan TR / RedCap.zioqa, is het beste advies om de gratis malware-detectie- en verwijderingstool SpyHunter te gebruiken. Als alternatief is er een stapsgewijze handleiding voor het verwijderen van de trojan hier.

De meningen zijn van de schrijver.

Titel afbeelding tegoed: Screenshot van CCleaner logo.

Afbeelding credits: dennizn / Shutterstock.com, Vintage Tone / Shutterstock.com, Denis Linine / Shutterstock.com, Iaremenko Sergii / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me