Hackul CCleaner a afectat milioane de computere din întreaga lume
CCleaner de la Piriform este un software de optimizare pentru PC de top în care au încredere miliarde (nu milioane!) de utilizatori din întreaga lume. Este un instrument de întreținere a sistemului complet legitim, cu o reputație impecabilă. Din păcate, compania a experimentat recent ceva foarte neplăcut și ceea ce este cunoscut public sub numele de „atac al lanțului de aprovizionare”.
Se pare că hackerii au compromis serverele companiei pentru a injecta malware în versiunea legitimă a computerului instrument de optimizare, care a aterizat cu succes componenta rău intenționată pe peste 2,27 milioane de computere la nivel mondial.
Pe 18 septembrie 2017, Paul Yung, vicepreședintele Piriform, a anunțat hack-ul într-o postare tulburătoare pe blog. VP și-a cerut scuze și a declarat că hackerii au reușit să compromită CCleaner 5.33.6162 și CCleaner Cloud versiunea 1.07.3191. Se pare că aceste versiuni au fost modificate ilegal pentru a seta uși din spate pe computerele utilizatorilor.
Compania a luat măsuri pentru a dezactiva serverul care comunica cu ușa din spate. Se pare că malware-ul injectat în software-ul de optimizare pentru PC (cunoscut sub numele de Nyetya sau Floxif Trojan) ar putea transfera numele computerului, lista de software-ul instalat sau actualizările Windows, procesele care rulează, adresele MAC ale primelor trei adaptoare de rețea și chiar mai multe date despre computer la o distanță Server.
Programele malware colectează date de la sisteme compromise
La început, experții au descoperit doar sarcina utilă din prima etapă. Potrivit analiștilor, virusul CCleaner 5.33 era capabil să transmită mai multe tipuri de date către propria sa bază de date, inclusiv adresele IP ale victimelor, timpul online, nume de gazdă, nume de domenii, liste de procese active, programe instalate și chiar mai mult. Potrivit experților de la Talos Intelligence Group, „aceste informații ar fi tot ceea ce ar avea nevoie un atacator pentru a lansa o încărcătură utilă în faza ulterioară”.
Cu toate acestea, puțin mai târziu, analiștii de malware au dezvăluit Virusul CCleaner’ pentru a descărca încărcarea utilă din a doua etapă.
Se pare că a doua sarcină utilă vizează doar companiile gigant de tehnologie. Pentru a detecta ținte, malware-ul folosește o listă de domenii, cum ar fi:
- Htcgroup.corp;
- Am.sony.com;
- Cisco.com;
- Linksys;
- Test.com;
- Dlink.com;
- Ntdev.corp.microsoft.com.
Amintiți-vă că este o listă scurtă de domenii. După accesarea bazei de date Command & Control, cercetătorii au descoperit cel puțin 700.000 de computere care au răspuns la server și peste 20 de mașini infectate cu malware din etapa a doua. Încărcarea utilă din a doua etapă este concepută pentru a permite hackerilor să aibă un punct mai profund pe sistemele companiilor de tehnologie.
Eliminați programul malware CCleaner și protejați-vă confidențialitatea
Potrivit Piriform, hackerii au reușit să modifice versiunea CCleaner 5.33 înainte de a fi lansată. Versiunea 5.33 a fost lansată pe 15 august 2017, ceea ce înseamnă că infractorii au început să infecteze sistemele în acea zi. Se pare că distribuția s-a oprit doar pe 15 septembrie.
Deși unii experți recomandă actualizarea CCleaner la versiunea 5.34, ne temem că ar putea să nu fie suficient să eliminați ușa din spate din sistemul dumneavoastră. 2-Experții în spyware recomandă să vă restaurați computerul la starea anterioară datei de 15 august și să rulați programul anti-malware. De asemenea, pentru a vă proteja conturile, vă recomandăm să vă schimbați toate parolele folosind un dispozitiv sigur (cum ar fi telefonul sau alt computer).