Peretasan CCleaner memengaruhi jutaan komputer di seluruh dunia
CCleaner by Piriform adalah perangkat lunak pengoptimalan PC berperingkat teratas yang dipercaya oleh miliaran (bukan jutaan!) pengguna di seluruh dunia. Ini adalah alat pemeliharaan sistem yang sepenuhnya sah dengan reputasi yang bersih. Sayangnya, perusahaan baru-baru ini mengalami sesuatu yang sangat tidak menyenangkan dan apa yang secara publik dikenal sebagai "serangan rantai pasokan."
Tampaknya peretas menyusup ke server perusahaan untuk menyuntikkan malware ke versi PC yang sah alat pengoptimalan, yang berhasil mendaratkan komponen berbahaya di lebih dari 2,27 juta komputer di seluruh dunia.
Pada 18 September 2017, Paul Yung, wakil presiden Piriform, mengumumkan peretasan tersebut dalam sebuah posting blog yang meresahkan. VP meminta maaf dan menyatakan bahwa peretas berhasil mengkompromikan CCleaner 5.33.6162 dan CCleaner Cloud versi 1.07.3191. Tampaknya versi ini dimodifikasi secara ilegal untuk mengatur pintu belakang di komputer pengguna.
Perusahaan mengambil tindakan untuk menghapus server yang berkomunikasi dengan pintu belakang. Tampaknya malware yang disuntikkan ke perangkat lunak pengoptimalan PC (dikenal sebagai Nyetya atau Floxif Trojan) dapat mentransfer nama komputer, daftar perangkat lunak yang diinstal atau pembaruan Windows, proses yang berjalan, alamat MAC dari tiga adapter jaringan pertama dan bahkan lebih banyak data tentang komputer ke remote server.
Malware mengumpulkan data dari sistem yang disusupi
Pada awalnya, para ahli hanya menemukan payload tahap pertama. Menurut analis, virus CCleaner 5.33 mampu mentransmisikan beberapa jenis data ke databasenya sendiri, termasuk alamat IP korban, waktu online, nama host, nama domain, daftar proses aktif, program yang diinstal, dan bahkan lebih. Menurut para ahli dari Talos Intelligence Group, “informasi ini akan menjadi segalanya yang dibutuhkan penyerang untuk meluncurkan muatan tahap selanjutnya.”
Namun, sedikit kemudian analis malware mengungkapkan virus CCleaner' untuk mengunduh payload tahap kedua.
Tampaknya payload kedua hanya menargetkan perusahaan teknologi raksasa. Untuk mendeteksi target, malware menggunakan daftar domain, seperti:
- Htcgroup.corp;
- Am.sony.com;
- Cisco.com;
- Linksys;
- tes.com;
- Dlink.com;
- Ntdev.corp.microsoft.com.
Ingat bahwa ini adalah daftar singkat domain. Setelah mengakses database Command & Control, peneliti menemukan setidaknya 700.000 komputer yang merespon server dan lebih dari 20 mesin terinfeksi malware tahap kedua. Payload tahap kedua dirancang untuk memungkinkan peretas mendapatkan pijakan yang lebih dalam pada sistem perusahaan teknologi.
Hapus malware CCleaner dan lindungi privasi Anda
Menurut Piriform, peretas berhasil memodifikasi CCleaner versi 5.33 sebelum diluncurkan. Versi 5.33 dirilis pada 15 Agustus 2017, yang berarti bahwa penjahat mulai menginfeksi sistem pada hari itu. Kabarnya, distribusi berhenti pada 15 September saja.
Meskipun beberapa ahli merekomendasikan memperbarui CCleaner ke versi 5.34, kami khawatir itu mungkin tidak cukup untuk membasmi backdoor dari sistem Anda. 2-Pakar Spyware merekomendasikan untuk memulihkan komputer Anda ke kondisi sebelum 15 Agustus dan menjalankan program anti-malware. Selain itu, untuk melindungi akun Anda, sebaiknya ubah semua kata sandi Anda menggunakan perangkat yang aman (seperti ponsel atau komputer lain).