2,27 miljoni lietotāju instalēja apdraudētu CCleaner versiju. Vai tu esi viens no viņiem?

CCleaner uzlaušana skāra miljoniem datoru visā pasaulē

CCleaner 5.33 vīruss

Piriform CCleaner ir visaugstāk novērtētā datoru optimizācijas programmatūra, kurai uzticas miljardiem (nevis miljoniem!) lietotāju visā pasaulē. Tas ir pilnīgi likumīgs sistēmas uzturēšanas rīks ar nevainojamu reputāciju. Diemžēl uzņēmums nesen piedzīvoja kaut ko ļoti nepatīkamu un to, ko publiski sauc par "piegādes ķēdes uzbrukumu".

Šķiet, ka hakeri kompromitēja uzņēmuma serverus, lai ievadītu ļaunprātīgu programmatūru likumīgajā datora versijā optimizācijas rīks, kas veiksmīgi nogādāja ļaunprātīgo komponentu vairāk nekā 2,27 miljonos datoru visā pasaulē.

2017. gada 18. septembrī Piriform viceprezidents Pols Džungs paziņoja par uzlaušanu satraucošā emuāra ierakstā. VP atvainojās un paziņoja, ka hakeriem izdevies kompromitēt CCleaner 5.33.6162 un CCleaner Cloud versiju 1.07.3191. Šķiet, ka šīs versijas tika nelikumīgi pārveidotas, lai lietotāju datoros izveidotu aizmugures durvis.

Uzņēmums veica darbības, lai noņemtu serveri, kas sazinājās ar aizmugures durvīm. Šķiet, ka datora optimizācijas programmatūrā (pazīstama kā Nyetya vai Floxif Trojan) ievadītā ļaunprogrammatūra var pārsūtīt datora nosaukumu, instalēta programmatūra vai Windows atjauninājumi, palaisti procesi, pirmo trīs tīkla adapteru MAC adreses un vēl vairāk datu par datoru uz tālvadības pulti serveris.

Ļaunprātīga programmatūra apkopo datus no apdraudētām sistēmām

Sākumā eksperti atklāja tikai pirmā posma kravnesību. Pēc analītiķu domām, CCleaner 5.33 vīruss spēja pārsūtīt vairāku veidu datus uz savu datu bāzi, ieskaitot upuru IP adreses, tiešsaistes laiku, resursdatora nosaukumus, domēna nosaukumus, aktīvo procesu sarakstus, instalētās programmas un pat vairāk. Pēc Talos Intelligence Group ekspertu domām, "šī informācija būtu viss, kas uzbrucējam būtu nepieciešams, lai palaistu vēlāku lietderīgo kravu."

Tomēr nedaudz vēlāk ļaunprogrammatūras analītiķi atklāja CCleaner vīrussfunkcionalitāti, lai lejupielādētu otrās pakāpes kravnesību.

Šķiet, ka otrā krava ir paredzēta tikai milzīgiem tehnoloģiju uzņēmumiem. Lai noteiktu mērķus, ļaunprātīga programmatūra izmanto domēnu sarakstu, piemēram:

  • Htcgroup.corp;
  • Am.sony.com;
  • Cisco.com;
  • Linksys;
  • Test.com;
  • Dlink.com;
  • Ntdev.corp.microsoft.com.

Atcerieties, ka tas ir saīsināts domēnu saraksts. Pēc piekļūšanas Command & Control datubāzei pētnieki atklāja vismaz 700 000 datoru, kas reaģēja uz serveri, un vairāk nekā 20 mašīnas, kas bija inficētas ar otrās pakāpes ļaunprātīgu programmatūru. Otrās pakāpes kravnesība ir paredzēta, lai ļautu hakeriem iegūt dziļāku pozīciju tehnoloģiju uzņēmumu sistēmās.

Noņemiet CCleaner ļaunprātīgu programmatūru un aizsargājiet savu privātumu

Saskaņā ar Piriform teikto, hakeriem izdevās modificēt CCleaner 5.33 versiju pirms tās palaišanas. 5.33 versija tika izlaista 2017. gada 15. augustā, kas nozīmē, ka šajā dienā noziedznieki sāka inficēt sistēmas. Tiek ziņots, ka izplatīšana tika pārtraukta tikai 15. septembrī.

Lai gan daži eksperti iesaka atjaunināt CCleaner uz versiju 5.34, mēs baidāmies, ka ar to var nepietikt, lai izskaustu aizmugures durvis no sistēmas. 2-Spyware eksperti iesaka atjaunot datora stāvokli pirms 15. augusta un palaist pretļaunatūras programmu. Turklāt, lai aizsargātu savus kontus, ieteicams nomainīt visas paroles, izmantojot drošu ierīci (piemēram, tālruni vai citu datoru).