CCleanerのハッキングは、世界中の何百万ものコンピューターに影響を及ぼしました
CCleaner by Piriformは、世界中の数十億(数百万ではない!)のユーザーから信頼されている一流のPC最適化ソフトウェアです。 これは完全に合法的なシステムメンテナンスツールであり、評判は抜群です。 悲しいことに、同社は最近、非常に不快なこと、および「サプライチェーン攻撃」として公に知られていることを経験しました。
ハッカーが会社のサーバーを侵害して、正規のバージョンのPCにマルウェアを注入したようです 悪意のあるコンポーネントを227万台以上のコンピューターに正常に配置した最適化ツール 世界的に。
2017年9月18日、Piriformの副社長であるPaul Yungは、厄介なブログ投稿でハッキングを発表しました。 VPは謝罪し、ハッカーがCCleaner5.33.6162とCCleanerCloudバージョン1.07.3191を侵害したと述べました。 これらのバージョンは、ユーザーのコンピューターにバックドアを設定するために違法に変更されたようです。
同社は、バックドアと通信していたサーバーを停止するための措置を講じました。 PC最適化ソフトウェア(NyetyaまたはFloxif Trojanとして知られている)に注入されたマルウェアが、コンピューターの名前、リストを転送する可能性があるようです。 インストールされたソフトウェアまたはWindowsUpdate、実行中のプロセス、最初の3つのネットワークアダプターのMACアドレス、およびコンピューターに関するさらに多くのデータをリモートに送信 サーバ。
マルウェアは、侵害されたシステムからデータを収集します
最初、専門家は第1段階のペイロードのみを発見しました。 アナリストによると、CCleaner 5.33ウイルスは、いくつかの種類のデータを独自のデータベースに送信することができました。 被害者のIPアドレス、オンライン時間、ホスト名、ドメイン名、アクティブなプロセスのリスト、インストールされているプログラム、 さらに。 Talos Intelligence Groupの専門家によると、「この情報は、攻撃者が後の段階のペイロードを起動するために必要なすべてのものになります。」
しかし、少し後にマルウェアアナリストが明らかにしました CCleanerウイルスの機能により、第2段階のペイロードをダウンロードします。
2番目のペイロードは巨大なテクノロジー企業のみを対象としているようです。 ターゲットを検出するために、マルウェアは次のようなドメインのリストを使用します。
- Htcgroup.corp;
- Am.sony.com;
- Cisco.com;
- Linksys;
- Test.com;
- Dlink.com;
- Ntdev.corp.microsoft.com。
これはドメインの短縮リストであることを忘れないでください。 Command&Controlデータベースにアクセスした後、研究者はサーバーに応答する少なくとも700,000台のコンピューターと、第2段階のマルウェアに感染した20台以上のマシンを発見しました。 第2段階のペイロードは、ハッカーがテクノロジー企業のシステムをより深く理解できるように設計されています。
CCleanerマルウェアを削除し、プライバシーを保護します
Piriformによると、ハッカーはCCleaner5.33のバージョンをリリース前に変更することができました。 5.33バージョンは2017年8月15日にリリースされました。これは、犯罪者がその日にシステムに感染し始めたことを意味します。 伝えられるところによると、配布は9月15日にのみ停止しました。
一部の専門家はCCleanerを5.34バージョンに更新することを推奨していますが、システムからバックドアを根絶するのに十分ではない可能性があります。 2-スパイウェアの専門家は、コンピューターを8月15日より前の状態に復元し、マルウェア対策プログラムを実行することを推奨しています。 また、アカウントを保護するために、安全なデバイス(電話や別のコンピューターなど)を使用してすべてのパスワードを変更することをお勧めします。