Hack CCleaner zasáhl miliony počítačů po celém světě
CCleaner od Piriform je nejlépe hodnocený software pro optimalizaci PC, kterému důvěřují miliardy (ne miliony!) uživatelů po celém světě. Je to zcela legitimní nástroj pro údržbu systému s neposkvrněnou pověstí. Bohužel společnost nedávno zažila něco velmi nepříjemného a to, co je veřejně známé jako „útok dodavatelského řetězce“.
Zdá se, že hackeři kompromitovali servery společnosti, aby vložili malware do legitimní verze počítače optimalizační nástroj, který škodlivý komponent úspěšně vysadil na více než 2,27 milionu počítačů celosvětově.
18. září 2017 Paul Yung, viceprezident Piriform, oznámil hack ve znepokojivém blogovém příspěvku. Viceprezident se omluvil a uvedl, že se hackerům podařilo kompromitovat CCleaner 5.33.6162 a CCleaner Cloud verze 1.07.3191. Zdá se, že tyto verze byly nezákonně upraveny tak, aby na počítačích uživatelů nastavily zadní vrátka.
Společnost podnikla kroky k odstranění serveru, který komunikoval se zadními vrátky. Zdá se, že malware vložený do softwaru pro optimalizaci počítače (známého jako Nyetya nebo Floxif Trojan) by mohl přenést název počítače, seznam nainstalovaný software nebo aktualizace Windows, běžící procesy, MAC adresy prvních tří síťových adaptérů a ještě více dat o počítači na dálku server.
Malware shromažďuje data z napadených systémů
Odborníci nejprve objevili pouze náklad prvního stupně. Podle analytiků byl virus CCleaner 5.33 schopen přenášet několik typů dat do vlastní databáze, včetně IP adres obětí, času online, názvů hostitelů, názvů domén, seznamů aktivních procesů, nainstalovaných programů a ještě více. Podle expertů z Talos Intelligence Group by „tyto informace byly vším, co by útočník potřeboval ke spuštění pozdější fáze nákladu“.
O něco později však odhalili malwaroví analytici virus CCleaner“ ke stažení užitečného zatížení druhé fáze.
Zdá se, že druhý náklad cílí pouze na obří technologické společnosti. K detekci cílů malware používá seznam domén, například:
- Htcgroup.corp;
- Am.sony.com;
- Cisco.com;
- Linksys;
- Test.com;
- Dlink.com;
- Ntdev.corp.microsoft.com.
Pamatujte, že se jedná o zkrácený seznam domén. Po přístupu do databáze Command & Control výzkumníci objevili nejméně 700 000 počítačů, které reagovaly na server, a více než 20 počítačů infikovaných malwarem druhé fáze. Užitečná zátěž druhé fáze je navržena tak, aby umožnila hackerům získat hlubší oporu v systémech technologických společností.
Odstraňte malware CCleaner a chraňte své soukromí
Podle Piriformu se hackerům podařilo upravit verzi CCleaner 5.33 ještě před jejím spuštěním. Verze 5.33 byla vydána 15. srpna 2017, což znamená, že v ten den začali zločinci infikovat systémy. Distribuce se údajně zastavila až 15. září.
Ačkoli někteří odborníci doporučují aktualizovat CCleaner na verzi 5.34, obáváme se, že by to nemuselo stačit vykořenit backdoor z vašeho systému. Odborníci 2-Spyware doporučují obnovit počítač do stavu před 15. srpnem a spustit program proti malwaru. Kvůli ochraně vašich účtů také doporučujeme změnit všechna hesla pomocí bezpečného zařízení (jako je telefon nebo jiný počítač).