Злом CCleaner вразив мільйони комп’ютерів по всьому світу
CCleaner від Piriform — це найкраще програмне забезпечення для оптимізації ПК, якому довіряють мільярди (а не мільйони!) користувачів у всьому світі. Це цілком законний інструмент обслуговування системи з бездоганною репутацією. На жаль, нещодавно компанія пережила щось дуже неприємне, і так широко відоме як «атака на ланцюжок поставок».
Схоже, хакери зламали сервери компанії, щоб ввести шкідливе програмне забезпечення в легітимну версію ПК інструмент оптимізації, який успішно розмістив шкідливий компонент на понад 2,27 мільйона комп’ютерів світовий.
18 вересня 2017 року Пол Юнг, віце-президент Piriform, оголосив про злам у тривожному дописі в блозі. Віце-президент вибачився і заявив, що хакерам вдалося зламати CCleaner 5.33.6162 і CCleaner Cloud версії 1.07.3191. Схоже, ці версії були незаконно модифіковані для встановлення бекдорів на комп’ютерах користувачів.
Компанія вжила заходів, щоб видалити сервер, який зв’язувався з бекдором. Схоже, зловмисне програмне забезпечення, введене в програмне забезпечення для оптимізації ПК (відоме як троян Nyetya або Floxif), могло передати ім’я комп’ютера, список встановлене програмне забезпечення або оновлення Windows, запущені процеси, MAC-адреси перших трьох мережевих адаптерів і ще більше даних про комп’ютер до віддаленого сервер.
Шкідливе програмне забезпечення збирає дані зі зламаних систем
Спочатку експерти виявили лише корисне навантаження першої ступені. На думку аналітиків, вірус CCleaner 5.33 був здатний передавати кілька типів даних до власної бази даних, включаючи IP-адреси жертв, онлайн-час, імена хостів, доменні імена, списки активних процесів, встановлені програми та навіть більше. За словами експертів з Talos Intelligence Group, «ця інформація буде всім, що знадобиться зловмиснику для запуску корисного навантаження на наступному етапі».
Однак трохи пізніше аналітики виявили шкідливе програмне забезпечення Вірус CCleaner’ для завантаження корисного навантаження другого етапу.
Схоже, що друга корисна навантаження націлена лише на гігантські технологічні компанії. Щоб виявити цілі, зловмисне програмне забезпечення використовує список доменів, наприклад:
- Htcgroup.corp;
- Am.sony.com;
- Cisco.com;
- Linksys;
- Test.com;
- Dlink.com;
- Ntdev.corp.microsoft.com.
Пам’ятайте, що це скорочений список доменів. Після доступу до бази даних Command & Control дослідники виявили щонайменше 700 000 комп’ютерів, які реагували на сервер, і понад 20 машин, заражених шкідливим програмним забезпеченням другого етапу. Корисне навантаження другого етапу розроблено, щоб дозволити хакерам глибше закріпитися в системах технологічних компаній.
Видаліть шкідливе програмне забезпечення CCleaner і захистіть свою конфіденційність
За даними Piriform, хакерам вдалося змінити версію CCleaner 5.33 до її запуску. Версія 5.33 була випущена 15 серпня 2017 року, тобто зловмисники почали заражати системи саме того дня. Повідомляється, що розповсюдження припинилося лише 15 вересня.
Хоча деякі експерти рекомендують оновити CCleaner до версії 5.34, ми боїмося, що цього може бути недостатньо, щоб викорінити бекдор із вашої системи. Експерти 2-Spyware рекомендують відновити ваш комп’ютер до стану, що було до 15 серпня, і запустити програму захисту від шкідливих програм. Крім того, щоб захистити ваші облікові записи, ми рекомендуємо змінити всі ваші паролі за допомогою безпечного пристрою (наприклад, телефону чи іншого комп’ютера).