CCleaner-hack påvirket millioner av datamaskiner over hele verden
CCleaner av Piriform er en topprangert PC-optimaliseringsprogramvare som er klarert av milliarder (ikke millioner!) av brukere over hele verden. Det er et helt legitimt systemvedlikeholdsverktøy med et plettfritt rykte. Dessverre opplevde selskapet nylig noe veldig ubehagelig og det som er offentlig kjent som "forsyningskjedeangrep."
Det ser ut til at hackere kompromitterte selskapets servere for å injisere skadelig programvare i den legitime versjonen av PC-en optimaliseringsverktøy, som vellykket landet den skadelige komponenten på mer enn 2,27 millioner datamaskiner verdensomspennende.
18. september 2017 annonserte Paul Yung, visepresidenten i Piriform, hacket i et urovekkende blogginnlegg. VP ba om unnskyldning og uttalte at hackere klarte å kompromittere CCleaner 5.33.6162 og CCleaner Cloud versjon 1.07.3191. Det ser ut til at disse versjonene ble ulovlig modifisert for å sette opp bakdører på brukernes datamaskiner.
Selskapet iverksatte tiltak for å ta ned serveren som kommuniserte med bakdøren. Det ser ut til at skadelig programvare injisert i PC-optimaliseringsprogramvaren (kjent som Nyetya eller Floxif Trojan) kan overføre navnet på datamaskinen, liste over installert programvare eller Windows-oppdateringer, kjørende prosesser, MAC-adresser til de tre første nettverkskortene og enda mer data om datamaskinen til en fjernkontroll server.
Skadelig programvare samler inn data fra kompromitterte systemer
Til å begynne med oppdaget eksperter bare nyttelasten i første trinn. Ifølge analytikere var CCleaner 5.33 virus i stand til å overføre flere typer data til sin egen database, inkludert ofrenes IP-adresser, online tid, vertsnavn, domenenavn, lister over aktive prosesser, installerte programmer og enda mer. I følge eksperter fra Talos Intelligence Group, "ville denne informasjonen være alt en angriper trenger for å starte en nyttelast på et senere stadium."
Men litt senere avslørte malware-analytikere CCleaner virus' funksjonalitet for å laste ned andre trinns nyttelast.
Det ser ut til at den andre nyttelasten kun er rettet mot gigantiske teknologiselskaper. For å oppdage målene bruker skadelig programvare en liste over domener, for eksempel:
- Htcgroup.corp;
- Am.sony.com;
- Cisco.com;
- Linksys;
- Test.com;
- Dlink.com;
- Ntdev.corp.microsoft.com.
Husk at det er en forkortet liste over domener. Etter å ha tilgang til Command & Control-databasen, oppdaget forskere minst 700 000 datamaskiner som reagerte på serveren og mer enn 20 maskiner infisert med skadevare i andre fase. Nyttelasten i andre trinn er designet for å la hackere få et dypere fotfeste på teknologiselskapenes systemer.
Fjern CCleaner malware og beskytt personvernet ditt
Ifølge Piriform klarte hackere å endre CCleaner 5.33-versjonen før den ble lansert. 5.33-versjonen ble utgitt 15. august 2017, noe som betyr at kriminelle begynte å infisere systemer den dagen. Etter sigende stoppet distribusjonen først 15. september.
Selv om noen eksperter anbefaler å oppdatere CCleaner til versjon 5.34, er vi redde for at det kanskje ikke er nok til å rote bakdøren ut av systemet ditt. 2-Spyware-eksperter anbefaler å gjenopprette datamaskinen til tilstanden før 15. august og kjøre anti-malware-program. For å beskytte kontoene dine anbefaler vi også at du endrer alle passordene dine med en sikker enhet (som telefonen eller en annen datamaskin).