Hack CCleaner dotknął miliony komputerów na całym świecie
CCleaner firmy Piriform to najwyżej oceniane oprogramowanie do optymalizacji komputera, któremu zaufały miliardy (nie miliony!) użytkowników na całym świecie. Jest to całkowicie legalne narzędzie do konserwacji systemu o nieskazitelnej reputacji. Niestety, firma doświadczyła ostatnio czegoś bardzo nieprzyjemnego i tego, co jest publicznie znane jako „atak łańcucha dostaw”.
Wygląda na to, że hakerzy włamali się na serwery firmy, aby wprowadzić złośliwe oprogramowanie do legalnej wersji komputera narzędzie optymalizacyjne, które skutecznie wysłało szkodliwy komponent na ponad 2,27 miliona komputerów na całym świecie.
18 września 2017 r. Paul Yung, wiceprezes Piriform, ogłosił włamanie w niepokojącym poście na blogu. Wiceprezes przeprosił i stwierdził, że hakerom udało się zhakować CCleaner 5.33.6162 i CCleaner Cloud w wersji 1.07.3191. Wygląda na to, że te wersje zostały nielegalnie zmodyfikowane w celu utworzenia tylnych drzwi na komputerach użytkowników.
Firma podjęła działania mające na celu wyłączenie serwera komunikującego się z backdoorem. Wygląda na to, że złośliwe oprogramowanie wstrzyknięte do oprogramowania optymalizującego komputer (znane jako trojan Nyetya lub Floxif) może przenosić nazwę komputera, listę zainstalowane oprogramowanie lub aktualizacje systemu Windows, uruchomione procesy, adresy MAC pierwszych trzech kart sieciowych i jeszcze więcej danych o komputerze do pilota serwer.
Malware zbiera dane z zaatakowanych systemów
Początkowo eksperci odkryli tylko ładunek pierwszego stopnia. Według analityków wirus CCleaner 5.33 potrafił przesyłać kilka rodzajów danych do własnej bazy danych, w tym adresy IP ofiar, czas online, nazwy hostów, nazwy domen, listy aktywnych procesów, zainstalowane programy i nawet więcej. Według ekspertów z Talos Intelligence Group „te informacje byłyby wszystkim, czego potrzebowałby atakujący, aby uruchomić ładunek na późniejszym etapie”.
Jednak nieco później analitycy złośliwego oprogramowania ujawnili Wirus CCleaner”, aby pobrać ładunek drugiego etapu.
Wygląda na to, że drugi ładunek jest skierowany tylko do gigantycznych firm technologicznych. Do wykrywania celów złośliwe oprogramowanie wykorzystuje listę domen, takich jak:
- Htcgroup.corp;
- Am.sony.com;
- Cisco.com;
- Linksys;
- Test.pl;
- Dlink.com;
- Ntdev.corp.microsoft.com.
Pamiętaj, że jest to skrócona lista domen. Po uzyskaniu dostępu do bazy danych Command & Control badacze wykryli co najmniej 700 000 komputerów, które odpowiedziały na serwer oraz ponad 20 maszyn zainfekowanych złośliwym oprogramowaniem drugiego etapu. Ładunek drugiego etapu został zaprojektowany, aby umożliwić hakerom uzyskanie głębszego przyczółka w systemach firm technologicznych.
Usuń złośliwe oprogramowanie CCleaner i chroń swoją prywatność
Według Piriform hakerom udało się zmodyfikować wersję CCleaner 5.33 przed jej uruchomieniem. Wersja 5.33 została wydana 15 sierpnia 2017 roku, co oznacza, że tego dnia przestępcy zaczęli infekować systemy. Podobno dystrybucja zakończyła się dopiero 15 września.
Chociaż niektórzy eksperci zalecają aktualizację CCleaner do wersji 5.34, obawiamy się, że może to nie wystarczyć do wykorzenienia backdoora z systemu. Eksperci 2-Spyware zalecają przywrócenie komputera do stanu sprzed 15 sierpnia i uruchomienie programu anty-malware. Ponadto, aby chronić swoje konta, zalecamy zmianę wszystkich haseł za pomocą bezpiecznego urządzenia (takiego jak telefon lub inny komputer).