CCleaner-Hack betraf Millionen von Computern weltweit
CCleaner von Piriform ist eine erstklassige PC-Optimierungssoftware, der Milliarden (nicht Millionen!) von Benutzern weltweit vertrauen. Es ist ein völlig legitimes Systemwartungstool mit einem makellosen Ruf. Leider hat das Unternehmen kürzlich etwas sehr Unangenehmes erlebt und etwas, das öffentlich als "Supply-Chain-Angriff" bekannt ist.
Es scheint, dass Hacker die Server des Unternehmens kompromittiert haben, um Malware in die legitime Version des PCs einzuschleusen Optimierungstool, das die bösartige Komponente erfolgreich auf mehr als 2,27 Millionen Computern gelandet hat weltweit.
Am 18. September 2017 kündigte Paul Yung, der Vizepräsident von Piriform, den Hack in einem beunruhigenden Blogbeitrag an. Der VP entschuldigte sich und erklärte, dass es Hackern gelungen sei, CCleaner 5.33.6162 und CCleaner Cloud Version 1.07.3191 zu kompromittieren. Es scheint, dass diese Versionen illegal modifiziert wurden, um Hintertüren auf den Computern der Benutzer einzurichten.
Das Unternehmen ergriff Maßnahmen, um den Server auszuschalten, der mit der Hintertür kommunizierte. Es scheint, dass die in die PC-Optimierungssoftware (bekannt als Nyetya oder Floxif-Trojaner) injizierte Malware den Namen des Computers übertragen könnte installierte Software oder Windows-Updates, laufende Prozesse, MAC-Adressen der ersten drei Netzwerkadapter und noch mehr Daten über den Computer an eine Fernbedienung Server.
Malware sammelt Daten von kompromittierten Systemen
Zunächst entdeckten Experten nur die Nutzlast der ersten Stufe. Laut Analysten war der CCleaner 5.33-Virus in der Lage, verschiedene Arten von Daten an seine eigene Datenbank zu übertragen. einschließlich IP-Adressen der Opfer, Online-Zeit, Hostnamen, Domänennamen, Listen aktiver Prozesse, installierter Programme und sogar mehr. Laut Experten der Talos Intelligence Group „sind diese Informationen alles, was ein Angreifer benötigt, um eine spätere Nutzlast zu starten“.
Doch etwas später enthüllten Malware-Analysten CCleaner-Virus’-Funktion, um die Nutzlast der zweiten Stufe herunterzuladen.
Es scheint, dass die zweite Nutzlast nur auf riesige Technologieunternehmen abzielt. Um die Ziele zu erkennen, verwendet die Malware eine Liste von Domänen, wie zum Beispiel:
- Htcgroup.corp;
- Am.sony.com;
- Cisco.com;
- Linksys;
- Test.com;
- Dlink.com;
- Ntdev.corp.microsoft.com.
Denken Sie daran, dass es sich um eine verkürzte Liste von Domänen handelt. Nach dem Zugriff auf die Command & Control-Datenbank entdeckten die Forscher mindestens 700.000 Computer, die auf den Server reagierten, und mehr als 20 Computer, die mit der Malware der zweiten Stufe infiziert waren. Die Nutzlast der zweiten Stufe soll Hackern ermöglichen, tiefer in die Systeme von Technologieunternehmen einzudringen.
Entfernen Sie CCleaner-Malware und schützen Sie Ihre Privatsphäre
Laut Piriform gelang es Hackern, die Version von CCleaner 5.33 vor dem Start zu ändern. Die Version 5.33 wurde am 15. August 2017 veröffentlicht, was bedeutet, dass Kriminelle an diesem Tag damit begannen, Systeme zu infizieren. Angeblich wurde die Verteilung erst am 15. September eingestellt.
Obwohl einige Experten empfehlen, CCleaner auf die Version 5.34 zu aktualisieren, befürchten wir, dass es möglicherweise nicht ausreicht, die Hintertür aus Ihrem System zu entfernen. 2-Spyware-Experten empfehlen, Ihren Computer auf den Zustand vor dem 15. August zurückzusetzen und ein Anti-Malware-Programm auszuführen. Um Ihre Konten zu schützen, empfehlen wir außerdem, alle Ihre Passwörter mit einem sicheren Gerät (z. B. Ihrem Telefon oder einem anderen Computer) zu ändern.