Хак на ЦЦлеанер утицао је на милионе рачунара широм света
ЦЦлеанер од Пириформа је најбоље оцењен софтвер за оптимизацију рачунара коме верују милијарде (не милиони!) корисника широм света. То је потпуно легитиман алат за одржавање система са беспрекорном репутацијом. Нажалост, компанија је недавно доживела нешто веома непријатно и оно што је у јавности познато као „напад на ланац снабдевања“.
Чини се да су хакери компромитовали сервере компаније како би убацили малвер у легитимну верзију рачунара алат за оптимизацију, који је успешно поставио злонамерну компоненту на више од 2,27 милиона рачунара широм света.
Дана 18. септембра 2017, Паул Иунг, потпредседник Пириформа, најавио је хак у забрињавајућем блогу. ВП се извинио и навео да су хакери успели да компромитују ЦЦлеанер 5.33.6162 и ЦЦлеанер Цлоуд верзију 1.07.3191. Чини се да су ове верзије незаконито модификоване да би се поставила позадинска врата на рачунарима корисника.
Компанија је предузела радње да уклони сервер који је комуницирао са бацкдоор-ом. Изгледа да би малвер убачен у софтвер за оптимизацију рачунара (познат као Ниетиа или Флокиф Тројан) могао да пренесе име рачунара, листу инсталирани софтвер или ажурирања за Виндовс, покренути процеси, МАЦ адресе прва три мрежна адаптера и још више података о рачунару на удаљеном сервер.
Малвер прикупља податке из компромитованих система
У почетку су стручњаци открили само носивост прве фазе. Према аналитичарима, вирус ЦЦлеанер 5.33 је био способан да преноси неколико врста података у своју базу података, укључујући ИП адресе жртава, време на мрежи, имена хостова, имена домена, листе активних процеса, инсталиране програме и још више. Према експертима из Талос Интеллигенце Гроуп, „ове информације би биле све што би нападачу требало да покрене каснију фазу корисног оптерећења“.
Међутим, нешто касније су открили аналитичари малвера ЦЦлеанер вирус’ функционалност за преузимање терета друге фазе.
Чини се да други терет циља само на гигантске технолошке компаније. Да би открио циљеве, малвер користи листу домена, као што су:
- Хтцгроуп.цорп;
- Ам.сони.цом;
- Цисцо.цом;
- Линксис;
- Тест.цом;
- Длинк.цом;
- Нтдев.цорп.мицрософт.цом.
Запамтите да је то скраћена листа домена. Након приступа бази података Цомманд & Цонтрол, истраживачи су открили најмање 700.000 рачунара који су одговорили на сервер и више од 20 машина заражених малвером друге фазе. Корисно оптерећење друге фазе је дизајнирано да омогући хакерима да стекну дубље упориште у системима технолошких компанија.
Уклоните ЦЦлеанер малвер и заштитите своју приватност
Према Пириформу, хакери су успели да модификују верзију ЦЦлеанер 5.33 пре него што је лансирана. Верзија 5.33 је објављена 15. августа 2017, што значи да су криминалци тог дана почели да заразе системе. Наводно је дистрибуција престала тек 15. септембра.
Иако неки стручњаци препоручују ажурирање ЦЦлеанер-а на верзију 5.34, плашимо се да то можда неће бити довољно да искорените бацкдоор из вашег система. Стручњаци за 2-шпијунски софтвер препоручују враћање рачунара у стање пре 15. августа и покретање програма против малвера. Такође, да бисмо заштитили своје налоге, препоручујемо да промените све своје лозинке помоћу безбедног уређаја (као што је телефон или други рачунар).