Le piratage de CCleaner a affecté des millions d'ordinateurs dans le monde
CCleaner de Piriform est un logiciel d'optimisation de PC de premier ordre auquel des milliards (et non des millions !) d'utilisateurs font confiance dans le monde. C'est un outil de maintenance du système tout à fait légitime avec une réputation sans tache. Malheureusement, l'entreprise a récemment vécu quelque chose de très désagréable et ce que l'on appelle publiquement « l'attaque de la chaîne d'approvisionnement ».
Il semble que des pirates aient compromis les serveurs de l'entreprise pour injecter des logiciels malveillants dans la version légitime du PC outil d'optimisation, qui a réussi à faire atterrir le composant malveillant sur plus de 2,27 millions d'ordinateurs à l'échelle mondiale.
Le 18 septembre 2017, Paul Yung, vice-président de Piriform, a annoncé le piratage dans un article de blog troublant. Le vice-président s'est excusé et a déclaré que des pirates avaient réussi à compromettre CCleaner 5.33.6162 et CCleaner Cloud version 1.07.3191. Il semble que ces versions aient été illégalement modifiées pour installer des portes dérobées sur les ordinateurs des utilisateurs.
L'entreprise a pris des mesures pour arrêter le serveur qui communiquait avec la porte dérobée. Il semble que le malware injecté dans le logiciel d'optimisation du PC (connu sous le nom de cheval de Troie Nyetya ou Floxif) pourrait transférer le nom de l'ordinateur, la liste des logiciels installés ou mises à jour Windows, processus en cours d'exécution, adresses MAC des trois premières cartes réseau et encore plus de données sur l'ordinateur vers une télécommande serveur.
Les logiciels malveillants collectent les données des systèmes compromis
Au début, les experts n'ont découvert que la charge utile du premier étage. Selon les analystes, le virus CCleaner 5.33 était capable de transmettre plusieurs types de données à sa propre base de données, y compris les adresses IP des victimes, l'heure de connexion, les noms d'hôte, les noms de domaine, les listes de processus actifs, les programmes installés et encore plus. Selon les experts de Talos Intelligence Group, « ces informations seraient tout ce dont un attaquant aurait besoin pour lancer une charge utile à un stade ultérieur ».
Cependant, un peu plus tard, des analystes de logiciels malveillants ont révélé Virus CCleaner’ pour télécharger la charge utile de la deuxième étape.
Il semble que la deuxième charge utile ne cible que les entreprises technologiques géantes. Pour détecter les cibles, le malware utilise une liste de domaines, tels que :
- Htcgroup.corp;
- Am.sony.com ;
- Cisco.com ;
- Linksys;
- Test.com ;
- Dlink.com ;
- Ntdev.corp.microsoft.com.
N'oubliez pas qu'il s'agit d'une liste abrégée de domaines. Après avoir accédé à la base de données Command & Control, les chercheurs ont découvert au moins 700 000 ordinateurs qui ont répondu au serveur et plus de 20 machines infectées par le malware de deuxième étape. La charge utile de la deuxième étape est conçue pour permettre aux pirates informatiques de s'implanter plus profondément sur les systèmes des entreprises technologiques.
Supprimez le malware CCleaner et protégez votre vie privée
Selon Piriform, les pirates ont réussi à modifier la version 5.33 de CCleaner avant son lancement. La version 5.33 est sortie le 15 août 2017, ce qui signifie que les criminels ont commencé à infecter les systèmes ce jour-là. Apparemment, la distribution s'est arrêtée le 15 septembre seulement.
Bien que certains experts recommandent de mettre à jour CCleaner vers la version 5.34, nous craignons que cela ne suffise pas à déraciner la porte dérobée de votre système. 2-Les experts en logiciels espions recommandent de restaurer votre ordinateur à l'état antérieur au 15 août et d'exécuter un programme anti-malware. De plus, pour protéger vos comptes, nous vous recommandons de modifier tous vos mots de passe à l'aide d'un appareil sûr (comme votre téléphone ou un autre ordinateur).