CCleaner-hacket påverkade miljontals datorer över hela världen
CCleaner från Piriform är en topprankad PC-optimeringsprogramvara som är betrodd av miljarder (inte miljoner!) användare över hela världen. Det är ett helt legitimt systemunderhållsverktyg med ett fläckfritt rykte. Tyvärr upplevde företaget nyligen något mycket obehagligt och vad som är allmänt känt som "supply-chain attack."
Det verkar som att hackare äventyrade företagets servrar för att injicera skadlig programvara i den legitima versionen av datorn optimeringsverktyg, som framgångsrikt landade den skadliga komponenten på mer än 2,27 miljoner datorer över hela världen.
Den 18 september 2017 meddelade Paul Yung, Piriforms vicepresident, hacket i ett oroande blogginlägg. VP bad om ursäkt och uppgav att hackare lyckades äventyra CCleaner 5.33.6162 och CCleaner Cloud version 1.07.3191. Det verkar som om dessa versioner olagligt modifierades för att sätta upp bakdörrar på användarnas datorer.
Företaget vidtog åtgärder för att ta ner servern som kommunicerade med bakdörren. Det verkar som om skadlig programvara som injiceras i PC-optimeringsmjukvaran (känd som Nyetya eller Floxif Trojan) kan överföra namnet på datorn, lista över installerad programvara eller Windows-uppdateringar, pågående processer, MAC-adresser för de tre första nätverksadaptrarna och ännu mer data om datorn till en fjärrkontroll server.
Skadlig programvara samlar in data från komprometterade system
Till en början upptäckte experter bara den första nyttolasten. Enligt analytiker kunde CCleaner 5.33-viruset överföra flera typer av data till sin egen databas, inklusive offrens IP-adresser, onlinetid, värdnamn, domännamn, listor över aktiva processer, installerade program och ännu mer. Enligt experter från Talos Intelligence Group "skulle den här informationen vara allt en angripare skulle behöva för att starta en nyttolast i ett senare skede."
Men lite senare avslöjade malwareanalytiker CCleaner virus’ funktionalitet för att ladda ner det andra stegets nyttolast.
Det verkar som att den andra nyttolasten bara riktar sig till gigantiska teknikföretag. För att upptäcka målen använder den skadliga programvaran en lista med domäner, till exempel:
- Htcgroup.corp;
- Am.sony.com;
- Cisco.com;
- Linksys;
- Test.com;
- Dlink.com;
- Ntdev.corp.microsoft.com.
Kom ihåg att det är en förkortad lista över domäner. Efter att ha kommit åt Command & Control-databasen upptäckte forskarna minst 700 000 datorer som svarade på servern och mer än 20 maskiner infekterade med skadlig programvara i andra skedet. Den andra etappens nyttolast är utformad för att låta hackare få ett djupare fotfäste på teknikföretagens system.
Ta bort CCleaner malware och skydda din integritet
Enligt Piriform lyckades hackare modifiera CCleaner 5.33-versionen innan den lanserades. 5.33-versionen släpptes den 15 augusti 2017, vilket innebär att brottslingar började infektera system den dagen. Enligt uppgift upphörde distributionen först den 15 september.
Även om vissa experter rekommenderar att du uppdaterar CCleaner till version 5.34, är vi rädda för att det kanske inte räcker för att rota ut bakdörren ur ditt system. 2-Spyware-experter rekommenderar att du återställer din dator till tillståndet före 15 augusti och kör anti-malware-program. För att skydda dina konton rekommenderar vi också att du ändrar alla dina lösenord med en säker enhet (som din telefon eller en annan dator).