Un număr semnificativ de utilizatori ai aplicației CCleaner sunt expuși riscului de a avea PC-urile infectate cu malware

2017/09/19
Popularitate 1183

Foto: cert.ro

Potrivit unei avertizări lansate recent de cercetătorii companiei Cisco Talos, unele dintre versiunile recente ale aplicației CCleaner, o aplicație bine-cunoscută ce este utilizată pentru mentenanța PC-urilor care rulează Windows, conțin malware care se instalează odată cu aplicația legitimă.

Versiunile afectate sunt CCleaner v5.33 și CCleaner Cloud v1.07.3191.

Descriere

Cercetătorii Cisco Talos au descoperit că pachetele de instalare ale CCleaner, deși compromise prin adăugarea de malware, fuseseră semnate cu certificate digitale valide, deținute de compania Piriform (între timp aplicația CCleaner a fost preluată de compania Avast). Acest fapt denotă faptul că, cel mai probabil, atacatorii au reușit să compromită securitatea mediului de dezvoltare al aplicației.

Malware-ul conținut de versiunile compromise ale CCleaner deține capabilități/funcționalități de DGA (Domain Generation Algorithm) și botnet (codul sursă conține adresa IP a unui server de comandă și control – C&C).

Perioada de răspândire a malware-ului este de aproximativ o lună, de la 15 August 2017 (publicarea versiunii compromise CCleaner v5.33) până la 12 Septembrie 2017 (publicarea versiunii sanitizate CCleaner v5.34).

Impact

Având în vedere gradul mare de popularitate al aplicației, descărcată de peste 2 miliarde de ori până în prezent și cu 5 milioane de noi utilizatori la fiecare săptămână, impactul potențial este semnificativ deoarece chiar și o mică fracțiune din aceste cifre, aferentă versiunilor afectate, reprezintă un număr foarte mare de potențiale sisteme infectate cu malware.

Deocamdată nu se cunoaște exact cum sunt exploatate sistemele infectate, însă faptul că acestea pot fi comandate de la distanță printr-un server de comandă și control (C&C) înseamnă că posibilitățile sunt practic nelimitate, de la atacuri DDoS până la exfiltrarea de date confidențiale.

Indicatori de compromitere

SHA256

6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9

1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff

36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9

Domenii web

ab6d54340c1a.com

aba9a949bc1d.com

ab2da3d400c20.com

ab3520430c23.com

ab1c403220c27.com

ab1abad1d0c2a.com

ab8cee60c2d.com

ab1145b758c30.com

ab890e964c34.com

ab3d685a0c37.com

ab70a139cc3a.com

IP

216.126.225.148

Remediere

CERT-RO sfătuiește toți utilizatorii aplicației CCleaner să verifice versiunea utilizată în prezent pentru a identifica dacă este cea compromisă (v5.33 sau Cloud v1.07.3191).

De asemenea, chiar dacă după verificarea versiunii instalate se constată că este una nouă (v5.34), este foarte important ca utilizatorii să determine dacă în ultima lună au instalat versiunea compromisă (v5.33) pentru că în această situație, chiar dacă între timp s-a efectuat un update la ultima versiune, sistemul a rămas infectat cu malware.

Toți utilizatorii care utilizează sau au utilizat la un moment dat o versiune compromisă de CCleaner sunt sfătuiți să revină la o copie de siguranță (backup) efectuată înainte de 15 August 2017, inclusiv prin utilizarea facilității System Restore din Windows, sau să reinstaleze sistemul de operare.

Referințe

http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html

https://exchange.xforce.ibmcloud.com/collection/CCleaner-Malware-b76e23a6710956bd0782d55976e748ae

https://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users


Vizualizat de 3618 ori