Взлом CCleaner затронул миллионы компьютеров по всему миру
CCleaner от Piriform - это лучшая программа для оптимизации ПК, которой доверяют миллиарды (а не миллионы!) Пользователей по всему миру. Это полностью законный инструмент для обслуживания системы с безупречной репутацией. К сожалению, недавно компания испытала нечто очень неприятное, известное как «атака цепочки поставок».
Похоже, что хакеры взломали серверы компании, чтобы внедрить вредоносное ПО в легитимную версию ПК. инструмент оптимизации, успешно разместивший вредоносный компонент на более чем 2,27 млн компьютеров. Мировой.
18 сентября 2017 года Пол Юнг, вице-президент Piriform, объявил о взломе в тревожном сообщении в блоге. Вице-президент извинился и заявил, что хакерам удалось взломать CCleaner 5.33.6162 и CCleaner Cloud версии 1.07.3191. Похоже, что эти версии были незаконно изменены для установки бэкдоров на компьютерах пользователей.
Компания предприняла действия по отключению сервера, который обменивался данными с бэкдором. Похоже, что вредоносная программа, внедренная в программу оптимизации ПК (известная как Nyetya или Floxif Trojan), могла передавать имя компьютера, список установленное программное обеспечение или обновления Windows, запущенные процессы, MAC-адреса первых трех сетевых адаптеров и даже больше данных о компьютере для удаленного сервер.
Вредоносное ПО собирает данные из скомпрометированных систем
Сначала специалисты обнаружили только полезную нагрузку первой ступени. По мнению аналитиков, вирус CCleaner 5.33 был способен передавать несколько типов данных в собственную базу данных, включая IP-адреса жертв, время в сети, имена хостов, доменные имена, списки активных процессов, установленных программ и даже больше. По словам экспертов Talos Intelligence Group, «эта информация будет всем, что потребуется злоумышленнику для запуска полезной нагрузки на более позднем этапе».
Однако чуть позже вредоносные аналитики выяснили, что CCleaner вирус’Функциональность для загрузки полезной нагрузки второго этапа.
Похоже, что вторая полезная нагрузка предназначена только для гигантских технологических компаний. Для обнаружения целей вредоносная программа использует список доменов, например:
- Htcgroup.corp;
- Am.sony.com;
- Cisco.com;
- Linksys;
- Test.com;
- Dlink.com;
- Ntdev.corp.microsoft.com.
Помните, что это сокращенный список доменов. Получив доступ к базе данных Command & Control, исследователи обнаружили не менее 700 000 компьютеров, которые ответили серверу, и более 20 машин, зараженных вредоносным ПО второй стадии. Полезная нагрузка второго уровня предназначена для того, чтобы позволить хакерам глубже закрепиться в системах технологических компаний.
Удалите вредоносное ПО CCleaner и защитите свою конфиденциальность
По данным Piriform, хакерам удалось модифицировать версию CCleaner 5.33 до ее запуска. Версия 5.33 была выпущена 15 августа 2017 года, а это значит, что в этот день преступники начали заражать системы. Как сообщается, раздача прекратилась только 15 сентября.
Хотя некоторые эксперты рекомендуют обновить CCleaner до версии 5.34, мы опасаемся, что этого может быть недостаточно для рутирования бэкдора из вашей системы. 2-Spyware эксперты рекомендуют восстановить ваш компьютер до состояния до 15 августа и запустить программу защиты от вредоносных программ. Кроме того, для защиты ваших учетных записей мы рекомендуем менять все пароли с помощью безопасного устройства (например, телефона или другого компьютера).