CCleaner-hack heeft wereldwijd miljoenen computers getroffen
CCleaner van Piriform is een best beoordeelde pc-optimalisatiesoftware die wordt vertrouwd door miljarden (niet miljoenen!) gebruikers over de hele wereld. Het is een volledig legitiem hulpmiddel voor systeemonderhoud met een smetteloze reputatie. Helaas heeft het bedrijf onlangs iets heel onaangenaams meegemaakt en wat algemeen bekend staat als 'supply-chain-aanval'.
Het lijkt erop dat hackers de servers van het bedrijf hebben gecompromitteerd om malware in de legitieme versie van de pc te injecteren optimalisatietool, die het schadelijke onderdeel met succes op meer dan 2,27 miljoen computers heeft geland wereldwijd.
Op 18 september 2017 kondigde Paul Yung, de vice-president van Piriform, de hack aan in een verontrustende blogpost. De VP verontschuldigde zich en verklaarde dat hackers erin slaagden om CCleaner 5.33.6162 en CCleaner Cloud versie 1.07.3191 te compromitteren. Het lijkt erop dat deze versies illegaal zijn aangepast om achterdeuren op de computers van gebruikers in te stellen.
Het bedrijf nam maatregelen om de server die met de achterdeur communiceerde, uit de lucht te halen. Het lijkt erop dat de malware die in de pc-optimalisatiesoftware is geïnjecteerd (bekend als Nyetya of Floxif Trojan) de naam van de computer, de lijst met geïnstalleerde software of Windows-updates, lopende processen, MAC-adressen van de eerste drie netwerkadapters en nog meer gegevens over de computer naar een afstandsbediening server.
Malware verzamelt gegevens van gecompromitteerde systemen
Aanvankelijk ontdekten experts alleen het laadvermogen van de eerste trap. Volgens analisten was het CCleaner 5.33-virus in staat om verschillende soorten gegevens naar zijn eigen database te verzenden, inclusief IP-adressen van slachtoffers, online tijd, hostnamen, domeinnamen, lijsten met actieve processen, geïnstalleerde programma's en nog meer. Volgens experts van Talos Intelligence Group, "zou deze informatie alles zijn wat een aanvaller nodig heeft om een latere payload te lanceren."
Even later onthulden malware-analisten echter CCleaner-virus’-functionaliteit om de payload van de tweede trap te downloaden.
Het lijkt erop dat de tweede lading alleen op gigantische technologiebedrijven is gericht. Om de doelen te detecteren, gebruikt de malware een lijst met domeinen, zoals:
- HTCgroup.corp;
- Am.sony.com;
- Cisco.com;
- Linksys;
- Test.com;
- Dlink.com;
- Ntdev.corp.microsoft.com.
Onthoud dat het een verkorte lijst met domeinen is. Na toegang tot de Command & Control-database, ontdekten onderzoekers ten minste 700.000 computers die reageerden op de server en meer dan 20 machines die besmet waren met de malware van de tweede fase. De payload van de tweede fase is ontworpen om hackers in staat te stellen dieper voet aan de grond te krijgen op de systemen van technologiebedrijven.
Verwijder CCleaner-malware en bescherm uw privacy
Volgens Piriform zijn hackers erin geslaagd de CCleaner 5.33-versie aan te passen voordat deze werd gelanceerd. De 5.33-versie werd uitgebracht op 15 augustus 2017, wat betekent dat criminelen op die dag systemen begonnen te infecteren. Naar verluidt stopte de distributie pas op 15 september.
Hoewel sommige experts aanbevelen om CCleaner te updaten naar versie 5.34, zijn we bang dat het niet genoeg zal zijn om de achterdeur uit je systeem te rooten. 2-Spyware-experts raden aan om uw computer te herstellen naar de staat van vóór 15 augustus en een anti-malwareprogramma te gebruiken. Om uw accounts te beschermen, raden we u ook aan al uw wachtwoorden te wijzigen met een veilig apparaat (zoals uw telefoon of een andere computer).