ผู้ใช้ 2.27 ล้านคนติดตั้ง CCleaner เวอร์ชันที่ถูกบุกรุก คุณเป็นหนึ่งในนั้นหรือไม่?

เบ็ดเตล็ดDec 20, 2021
click fraud protection

แฮ็ค CCleaner ส่งผลกระทบต่อคอมพิวเตอร์หลายล้านเครื่องทั่วโลก

ไวรัส CCleaner 5.33

CCleaner by Piriform เป็นซอฟต์แวร์เพิ่มประสิทธิภาพพีซีที่ได้รับความไว้วางใจจากผู้ใช้หลายพันล้านคนทั่วโลก เป็นเครื่องมือบำรุงรักษาระบบที่ถูกต้องตามกฎหมายโดยสมบูรณ์และมีชื่อเสียง น่าเศร้าที่เมื่อเร็ว ๆ นี้บริษัทเพิ่งประสบกับบางสิ่งที่ไม่น่าพอใจอย่างมาก และสิ่งที่เป็นที่รู้จักในที่สาธารณะว่า "การโจมตีห่วงโซ่อุปทาน"

ดูเหมือนว่าแฮกเกอร์บุกรุกเซิร์ฟเวอร์ของบริษัทเพื่อแทรกมัลแวร์ลงในพีซีเวอร์ชันที่ถูกต้อง เครื่องมือเพิ่มประสิทธิภาพซึ่งประสบความสำเร็จในการลงจอดส่วนประกอบที่เป็นอันตรายบนคอมพิวเตอร์มากกว่า 2.27 ล้านเครื่อง ทั่วโลก

เมื่อวันที่ 18 กันยายน 2017 Paul Yung รองประธานของ Piriform ได้ประกาศการแฮ็กในบล็อกโพสต์ที่เป็นปัญหา รองประธานกล่าวขอโทษและระบุว่าแฮกเกอร์พยายามประนีประนอม CCleaner 5.3.6162 และ CCleaner Cloud เวอร์ชัน 1.07.3191 ดูเหมือนว่าเวอร์ชันเหล่านี้ได้รับการแก้ไขอย่างผิดกฎหมายเพื่อตั้งค่าแบ็คดอร์บนคอมพิวเตอร์ของผู้ใช้

บริษัทได้ดำเนินการเพื่อลบเซิร์ฟเวอร์ที่สื่อสารกับแบ็คดอร์ ดูเหมือนว่ามัลแวร์ที่ฉีดเข้าไปในซอฟต์แวร์เพิ่มประสิทธิภาพพีซี (เรียกว่า Nyetya หรือ Floxif Trojan) สามารถถ่ายโอนชื่อคอมพิวเตอร์ รายชื่อ ซอฟต์แวร์ที่ติดตั้งหรืออัพเดต Windows, กระบวนการทำงาน, ที่อยู่ MAC ของอะแดปเตอร์เครือข่ายสามตัวแรก และข้อมูลเพิ่มเติมเกี่ยวกับคอมพิวเตอร์ไปยังรีโมท เซิร์ฟเวอร์

มัลแวร์รวบรวมข้อมูลจากระบบที่ถูกบุกรุก

ในตอนแรก ผู้เชี่ยวชาญค้นพบเฉพาะเพย์โหลดขั้นแรกเท่านั้น นักวิเคราะห์กล่าวว่าไวรัส CCleaner 5.33 สามารถส่งข้อมูลหลายประเภทไปยังฐานข้อมูลของตัวเอง รวมถึงที่อยู่ IP ของเหยื่อ เวลาออนไลน์ ชื่อโฮสต์ ชื่อโดเมน รายการกระบวนการที่ใช้งานอยู่ โปรแกรมที่ติดตั้งและ มากไปกว่านั้น. ผู้เชี่ยวชาญจาก Talos Intelligence Group กล่าวว่า "ข้อมูลนี้จะเป็นทุกอย่างที่ผู้โจมตีจำเป็นต้องใช้เพื่อเปิดตัวข้อมูลในภายหลัง"

อย่างไรก็ตาม นักวิเคราะห์มัลแวร์เปิดเผยในภายหลังเล็กน้อย ไวรัส CCleaner' ฟังก์ชันเพื่อดาวน์โหลดเพย์โหลดขั้นที่สอง

ดูเหมือนว่าเพย์โหลดที่สองจะมุ่งเป้าไปที่บริษัทเทคโนโลยียักษ์ใหญ่เท่านั้น ในการตรวจจับเป้าหมาย มัลแวร์จะใช้รายการโดเมน เช่น:

  • Htcgroup.corp;
  • Am.sony.com;
  • Cisco.com;
  • ลิงค์ซิส;
  • Test.com;
  • Dlink.com;
  • Ntdev.corp.microsoft.com.

โปรดจำไว้ว่าเป็นรายการโดเมนที่สั้นลง หลังจากเข้าถึงฐานข้อมูล Command & Control นักวิจัยได้ค้นพบคอมพิวเตอร์อย่างน้อย 700,000 เครื่องที่ตอบสนองต่อเซิร์ฟเวอร์และอีกกว่า 20 เครื่องที่ติดมัลแวร์ระยะที่สอง เพย์โหลดขั้นที่สองได้รับการออกแบบมาเพื่อให้แฮกเกอร์เข้าถึงระบบของบริษัทเทคโนโลยีได้ลึกซึ้งยิ่งขึ้น

ลบมัลแวร์ CCleaner และปกป้องความเป็นส่วนตัวของคุณ

จากข้อมูลของ Piriform แฮกเกอร์สามารถแก้ไขเวอร์ชัน CCleaner 5.33 ก่อนเปิดตัวได้ เวอร์ชัน 5.33 เผยแพร่เมื่อวันที่ 15 สิงหาคม 2017 ซึ่งหมายความว่าอาชญากรเริ่มแพร่ระบาดระบบในวันนั้น ตามรายงานการแจกจ่ายหยุดในวันที่ 15 กันยายนเท่านั้น

แม้ว่าผู้เชี่ยวชาญบางคนแนะนำให้อัปเดต CCleaner เป็นเวอร์ชัน 5.34 แต่เราเกรงว่าอาจไม่เพียงพอที่จะรูทแบ็คดอร์ออกจากระบบของคุณ ผู้เชี่ยวชาญด้านสปายแวร์ 2-Spyware แนะนำให้กู้คืนคอมพิวเตอร์ของคุณเป็นสถานะก่อนวันที่ 15 สิงหาคมและเรียกใช้โปรแกรมป้องกันมัลแวร์ นอกจากนี้ เพื่อปกป้องบัญชีของคุณ เราแนะนำให้เปลี่ยนรหัสผ่านทั้งหมดของคุณโดยใช้อุปกรณ์ที่ปลอดภัย (เช่น โทรศัพท์ของคุณหรือคอมพิวเตอร์เครื่องอื่น)