CCleaner malware hack: Mi ez és hogyan kerüljük el?

Úgy tűnik, hogy a CCleaner, a PCWorld egyike az új PC-k számára a legjobb szabad szoftverek egyikének, talán mégsem tartotta volna tisztán a számítógépét. A népszerű optimalizáló és súroló szoftver mélyreható próbájánál a Cisco Talos olyan rosszindulatú kódot fedezett fel, amelyet a hackerek fecskendeztek be, amelyek több mint 2 millió olyan felhasználóra vonatkoztak, akik a legfrissebb frissítést letöltötték.

A szerkesztő megjegyzése: Ez a cikk először 2017. szeptember 18-án jelent meg, de szeptember 21-én frissítették az ipari kémkedéssel foglalkozó specifikus technológiai cégekre vonatkozó rosszindulatú szoftverekkel kapcsolatos részleteket.

A szeptember 13-án Cisco Talos megállapította, hogy a CCleaner Az 5.33 és a CCleaner Cloud 1.07.3191 egy "rosszindulatú hasznos teret tartalmazott, amely egy Domain Generation Algorithmot, valamint egy kemény kódolt Command and Control funkciót tartalmazott." Ez azt jelenti, hogy egy hacker beszivárgott az Avast Piriform hivatalos fejlesztőjében valahol a fejlesztési folyamatban, a Cisco Talos gyanítja, hogy a támadó "veszélyeztette a (CCleaner) fejlesztési vagy építési környezetének egy részét és a levera hogy hozzáférést biztosít a rosszindulatú szoftvereknek a CCleaner buildbe, amely a szervezet által felszabadított és a házigazdája volt. "Mint ilyen, az ügyfelek személyes adatait nem veszélyeztette.

[További olvasnivalók: A rosszindulatú programok eltávolítása a Windows számítógépről]

A Paul Yung termékek alelnöke által készített blogbejegyzésben azt állítja, hogy a vállalat a szeptember 12-i támadást azonosította, és megtette a megfelelő lépéseket még a Cisco Talos értesítése előtt. Yung szerint a támadás a CCleanerre és a CCleaner Cloudra korlátozódik 32 bites Windows rendszereken - szerencsére a legtöbb modern PC valószínűleg 64 bites verziót futtat.

Yung biztosítja ügyfeleinek, hogy a fenyegetés megoldódott, és a "gazember szerver" le van állítva. Azt is mondja, hogy a Piriform leállította a hackerek hozzáférését más szerverekhez. Továbbá a vállalat minden felhasználónak a szoftver legfrissebb verziójára költözik, amely már elérhető a cég weboldalán (bár a kiadási megjegyzések csak "kisebb nagy javításokat" említenek.)

Nagyon megnyugtató módon Yung kijelenti, hogy az Avast látszólag képes volt kiküszöbölni a veszélyt, mielőtt bármi kárt okozna. A támadás szándéka jelenleg nem tisztázott, de az Avast szerint a kód képes volt a helyi rendszerre vonatkozó információkat összegyűjteni.

Cisco Talos

Frissítés:

Az Avast szeptember 21-én kiderítette, hogy a rosszindulatú programot hogy második fázisú terhelést szállítson a fertőzött számítógépekre meghatározott szervezeteknél, és legalább nyolc, nyolc vállalatnál működő vállalat kapcsolatba lépett a parancs- és vezérlőkiszolgálóval. "Tekintettel arra, hogy a naplókat csak három napnál rövidebb idő alatt gyűjtötték össze, a tényleges számú számítógép, amelyik a második szintű terhelést megkapta, valószínűleg legalább százas sorrendben" - mondja Avast. A Cisco Talos a malware parancskiszolgálóját és arról számol be, hogy PC-kbe próbál beszivárogni a technológiai szervezetekben, köztük az Intel, a Samsung, a HTC, a VMWare, a Cisco és mások. A teljes listát a jobb oldalon láthatja. A Cisco Talos gyanítja, hogy a támadók a kártékony programokat ipari kémkedéssel kívánják használni.

Mi a teendő a CCleaner rosszindulatú szoftverekkel

A személyi felhasználók az Avast webhelyéről letölthetik a CCleaner 5.34-et, ha még nem tették meg. Az előző kiadások még mindig elérhetők a vállalat honlapján, de a fertőzött verziót eltávolították a cég szervereiről. Szintén víruskeresést szeretne végrehajtani a számítógépen. Ha érinti, a Cisco Talos azt javasolja, hogy biztonsági másolatot használjon a számítógép helyreállítására 2017. augusztus 15-ig, amikor a feltört verzió megjelent.

Az otthoni hatás:

Míg a célterületen lévő személyes felhasználók nem látnak hatást a kísérleti támadásról, ez még mindig ijesztő fogalom. Amíg az Avast megelőzte a problémát és incidens nélkül megoldotta azt, a kisebb vállalatok esetleg nem tudnak ilyen gyorsan reagálni. Például az év elején azt találták, hogy az ukrán szoftverfejlesztő cég MeDoc megsértése a NotPetya ransomware felelőssége volt. A Ransomware egyre zavaróbbá válik, és ha a hackerek képesek megfertőzni a fertőzött szervereket, a rosszindulatú programokat a lehető legtöbb gépre terjeszthetik.