A CCleaner feltörése számítógépek millióit érintette világszerte
A Piriform CCleaner egy legjobb minősítésű PC-optimalizáló szoftver, amelyben világszerte több milliárd (nem millió!) felhasználó bízik. Ez egy teljesen legitim rendszerkarbantartó eszköz, makulátlan hírnévvel. Sajnálatos módon a vállalat a közelmúltban valami nagyon kellemetlen dolgot élt át, és amit köztudottan „ellátási lánc támadásnak” neveznek.
Úgy tűnik, hogy a hackerek feltörték a vállalat szervereit, hogy rosszindulatú programokat fecskendezzenek be a számítógép legális verziójába optimalizáló eszköz, amely több mint 2,27 millió számítógépen sikeresen landolt a rosszindulatú összetevővel világszerte.
2017. szeptember 18-án Paul Yung, a Piriform alelnöke egy nyugtalanító blogbejegyzésben jelentette be a feltörést. Az alelnök elnézést kért, és kijelentette, hogy a hackereknek sikerült feltörniük a CCleaner 5.33.6162-es és a CCleaner Cloud 1.07.3191-es verzióját. Úgy tűnik, hogy ezeket a verziókat illegálisan módosították, hogy hátsó ajtókat hozzanak létre a felhasználók számítógépein.
A cég lépéseket tett a hátsó ajtóval kommunikáló szerver leállítására. Úgy tűnik, hogy a PC-optimalizáló szoftverbe (Nyetya vagy Floxif Trojan néven ismert) beoltott rosszindulatú program átviheti a számítógép nevét, telepített szoftverek vagy Windows frissítések, futó folyamatok, az első három hálózati adapter MAC-címe és még több adat a számítógépről egy távoli szerver.
A rosszindulatú programok adatokat gyűjtenek a feltört rendszerekről
A szakértők először csak az első szakasz hasznos terhét fedezték fel. Elemzők szerint a CCleaner 5.33 vírus többféle adatot is képes volt saját adatbázisába továbbítani, beleértve az áldozatok IP-címét, online idejét, gazdagépneveit, tartományneveit, az aktív folyamatok listáját, a telepített programokat és még több. A Talos Intelligence Group szakértői szerint „ezekre az információkra mindenre szüksége lenne egy támadónak egy későbbi rakomány indításához”.
A malware elemzők azonban valamivel később felfedték CCleaner vírus' funkciót a második szakasz hasznos terhelésének letöltéséhez.
Úgy tűnik, hogy a második teher csak óriási technológiai cégeket céloz meg. A célpontok észleléséhez a rosszindulatú program tartományok listáját használja, például:
- Htcgroup.corp;
- Am.sony.com;
- Cisco.com;
- Linksys;
- Test.com;
- Dlink.com;
- Ntdev.corp.microsoft.com.
Ne feledje, hogy ez a domainek rövidített listája. A Command & Control adatbázishoz való hozzáférés után a kutatók legalább 700 000 számítógépet fedeztek fel, amelyek válaszoltak a szerverre, és több mint 20 gépet fertőzött meg a második fokozatú kártevő. A második szakasz hasznos teher célja, hogy lehetővé tegye a hackerek számára, hogy mélyebben hozzáférjenek a technológiai cégek rendszereihez.
Távolítsa el a CCleaner rosszindulatú programját, és védje meg magánéletét
A Piriform szerint a hackereknek sikerült módosítaniuk a CCleaner 5.33-as verzióját a megjelenés előtt. Az 5.33-as verzió 2017. augusztus 15-én jelent meg, vagyis a bűnözők ezen a napon kezdték meg a rendszer megfertőzését. Állítólag a terjesztés csak szeptember 15-én állt le.
Bár egyes szakértők azt javasolják, hogy frissítsd a CCleaner 5.34-es verzióját, attól tartunk, hogy ez nem elég ahhoz, hogy a hátsó ajtót rootold a rendszeredből. 2-Spyware szakértők azt javasolják, hogy állítsa vissza számítógépét az augusztus 15-e előtti állapotba, és futtasson kártevő-elhárító programot. Ezenkívül a fiókok védelme érdekében javasoljuk, hogy minden jelszavát biztonságos eszköz (például telefon vagy másik számítógép) használatával változtassa meg.