Úgy tűnt, hogy a népszerű PC és Android optimalizáló szoftver, a CCleaner fertőzött változata nagyszámú számítógép-felhasználó számára terjeszti a rosszindulatú programokat. A kinyilatkoztatás először hétfő reggel érkezett az internetre, amikor a szoftverfejlesztő, Piriform a témáról blogbejegyzést tett közzé. A jó hír az, hogy csak az érintetteket, akik a CCleaner programot 32 bites Windows rendszeren futtatják.


A történet első története óta az Avast számítógépes biztonsági cég bejelentette, hogy akár 2,27 millió CCleaner felhasználót is érinthet a rosszindulatú program, amelyet a népszerű PC teljesítmény-optimalizáló szoftver hivatalos verzióiban rejtettek el. Azóta a Cisco kutatásai kimutatták, hogy a valódi fertőzések száma alacsonyabb, mintegy 700 000 PC-n.

A Piriform blogbejegyzésének megfelelően a CCleaner fertőzött példányait augusztus 15. és szeptember 12. között terjesztették. A Piriform elmondta, hogy szoftverének sérült verziói a CCleaner 5.33.6162 és a CCleaner Cloud 1.07.3191..

A Piriform sürget minden CCleaner felhasználót, hogy a lehető leghamarabb töltsék le az 5.34 vagy újabb verziót. Érdemes megjegyezni, hogy a CCleaner Cloud felhasználói automatikusan megkapják a frissítést. Lehetséges, hogy más CCleaner felhasználók azonban továbbra is futtatják a veszélyeztetett verziót, így a kézi frissítés rendkívül fontos ezen fogyasztók számára.

Még nem ismert, hogy a hackerek hogyan tudták elrejteni a rosszindulatú kódot a CCleaner hivatalos verziójában. A Piriform blogbejegyzéséből:

„Megállapítottuk, hogy a CCleaner 5.33.6162 verzióját és a CCleaner Cloud 1.07.3191 verzióját illegálisan módosították, még mielőtt azt nyilvánosságra hozták volna, és nyomozást indítottunk. Azonnal kapcsolatba léptünk a rendészeti egységekkel és velük együtt dolgoztunk a probléma megoldásában. ”

"Nem érzékeny" Ellopott adatok

A Piriform eddig képes volt meggyőződni arról, hogy a rosszindulatú program kommunikál az Egyesült Államokban található Command and Control (CnC) szerverrel. Úgy tűnik, hogy a hackerek a rosszindulatú programokat arra használták, hogy összegyűjtsék a vállalkozás által „nem érzékeny” adatokat.

Ezek az adatok tartalmazzák a felhasználó számítógépnevét, IP-címét, a gépen telepített szoftver átfogó listáját, az aktív szoftver listáját és a hálózati adapterek listáját. A Piriform arról tájékoztatta a felhasználókat, hogy:

„Nincs arra utaló jel, hogy bármilyen más adatot elküldtek volna a szerverre.

„Az amerikai bűnüldöző szervekkel együttműködve szeptember 15-én leállítottuk ezt a szervert, mielőtt bármilyen ismert károkat elkövetnénk. A bűnüldöző szerv vizsgálatának akadálya lett volna, ha ezzel nyilvánosságra hozták volna, mielőtt a szervert letiltották és befejeztük az első értékelésünket. ”

Avast

Az Avast bevonása

Érdekes, hogy az Avast biztonsági óriás (amely világszerte biztonsági termékeket biztosít számítógép-felhasználók számára) csak a közelmúltban szerezte be a CCleaner fejlesztőjét, a Piriformot. Ezt az akvizíciót mindössze két hónappal ezelőtt, 2017. júliusában fejezték be. Ezért a támadás ütemezése enyhén szólva. Az a tény, hogy a rosszindulatú program a CCleaner hivatalos verziójára tette a nyilvánosság előtt történő megjelenés előtt, azt jelentheti, hogy a hacker belülről működik. Csak az idő fogja megmondani.

Az Avast nevében szóvivő a következő észrevételeket tette:

„Úgy gondoljuk, hogy ezek a felhasználók most biztonságban vannak, mivel a vizsgálatunk azt mutatja, hogy képesek voltunk hatástalanítani a fenyegetést, még mielőtt bármiféle károkat tudtak volna okozni..

"Becslések szerint 2,27 millió felhasználó telepítette az érintett szoftvert 32 bites Windows gépekre."

Néhány jó hír

A fertőzések kezdeti nagy becslése ellenére úgy tűnik, hogy Piriform elég szerencsés. Az Avast megszerzésekor azt állították, hogy a CCleanernek óriási 130 millió aktív felhasználója van, köztük 15 millió az Androidon. Mivel a fertőzés csak a 32 bites Windows PC-ken futó CCleaner verziókra korlátozódott, úgy tűnik, hogy a CCleaner felhasználók viszonylag kis számát érintették (a Cisco szerint mindössze 700 000 gép)..

Vállalati célok

Vállalati célok

Annak ellenére, hogy csak kis számú CCleaner felhasználót célozott meg, most bizonyítékok derültek ki, hogy a hackerek kifejezetten megpróbálták megfertőzni a vállalati célokat. Ezt a felfedezést a biztonsági szakértők fedezték fel, akik elemezték a hackerek által használt CnC szervert.

A Cisco Talos biztonsági osztályának kutatói azt állítják, hogy bizonyítékokat találtak arra, hogy 20 nagyvállalatot kifejezetten fertőzés céljára irányítottak. E cégek között szerepel az Intel, a Google, a Samsung, a Sony, a VMware, a HTC, a Linksys, a Microsoft, az Akamai, a D-Link és maga a Cisco. Cisco szerint az esetek kb. Felében a hackereknek sikerült megfertőzni legalább egy gépet. Ez hátsó ajtóként szolgált a CnC szerver számára, hogy kifinomultabb hasznos terhelést biztosítson. A Cisco úgy véli, hogy a kizsákmányolást vállalati kémkedés céljára szánták.

Érdekes, hogy mind a Cisco, mind a Kaspersky szerint a CCleanerben található rosszindulatú kódok bizonyos kódokkal rendelkeznek a 72-es csoportként ismert kínai kormányzati hackerek vagy az Axiom által használt kizsákmányolásokkal. Túl korai lenne megmondani, de ez azt jelentheti, hogy a kibertámadás államilag támogatott művelet volt.

Craig Williams, a Talos kutatási igazgatója kommentálja,

"Amikor eredetileg ezt találtuk, tudtuk, hogy sok vállalatot fertőzött meg. Most már tudjuk, hogy ezt dragnetként használták arra, hogy megcélozza ezt a 20 vállalatot világszerte ... hogy lábakat szerezzen azokban a vállalatokban, amelyek értékes dolgokat lopnak, köztük a Cisco."

Cisco

Korán elkaptam

Szerencsére a Piriform elég hamar észrevette a támadást, hogy megakadályozza a támadást. Piriform alelnöke, Paul Yung kommentálja,

"Ebben a szakaszban nem akarjuk spekulálni, hogy a jogosulatlan kód hogyan jelent meg a CCleaner szoftverben, honnan származik a támadás, mennyi ideig készültek fel és ki állt mögötte."

A Cisco azonban gyorsan rámutatott, hogy a megcélzott cégek számára (akikkel már kapcsolatba léptek) a CCleaner egyszerű frissítése nem elegendő, mivel a másodlagos hasznos teher rejtett rendszerükben rejlik. Kommunikáció lehet egy különálló CnC szerverrel az eddig feltárt szerverrel. Ez azt jelenti, hogy lehetséges, hogy a hackerek még több hasznot hoztak ezekre a gépekre.

Ezért a Cisco azt ajánlja, hogy minden potenciálisan fertőzött gépet állítsanak vissza olyan időre, amíg a Piriform szoftverének szennyezett verzióját nem telepítették rájuk..

Cclener Trojan

TR / RedCap.zioqa

Egy Sky87 nevű CCleaner-felhasználó szerint kedden nyitották meg a CCleaner-t, hogy ellenőrizzék, milyen verziójuk van. A 32 bites bináris fájlt azonnali karanténba helyezték a rosszindulatú szoftvert azonosító üzenettel, TR / RedCap.zioqa néven. A TR / RedCap.zioqa olyan trójai, amelyet a biztonsági szakértők már ismertek. Avira erre utal,

"Olyan trójai ló, aki képes kémkedni, megsérteni az Ön személyes adatait, vagy nemkívánatos módosításokat hajthat végre a rendszerben."

Mit kell tenni

Ha aggódik a CCleaner verziója miatt, ellenőrizze a rendszeren, hogy van-e Windows rendszerleíró kulcs. Ehhez lépjen a következő helyre: HKEY_LOCAL_MACHINE >SZOFTVER >körte alakú >Agomo. Ha van az Agomo mappa, akkor két érték lesz, MUID és TCID. Ez azt jelzi, hogy a gép valóban fertőzött.

Érdemes megjegyezni, hogy a rendszer CCleaner 5.34-es verzióra történő frissítése nem távolítja el az Agomo kulcsot a Windows beállításjegyzékből. Csak a rosszindulatú végrehajtható fájlokat cserélje le legitimre, így a rosszindulatú programok már nem jelentenek veszélyt. Mint ilyen, ha már frissítette a CCleaner legújabb verzióját, és látta az Agomo kulcsot, ez nem az, ami miatt aggódnia kell..

Azok számára, akik attól tartanak, hogy a rendszerük megfertőződhet a TR / RedCap.zioqa trójai verziójával, a legjobb tanács az ingyenes rosszindulatú programok észlelésére és eltávolítására szolgáló eszköz, a SpyHunter használata. Alternatív megoldásként itt található egy lépésről-lépésre szóló útmutató a trójai eltávolításához.

A vélemények az író véleményei.

Címcím: A CCleaner logó képernyőképe.

Kép-jóváírások: dennizn / Shutterstock.com, Vintage Tone / Shutterstock.com, Denis Linine / Shutterstock.com, Iaremenko Sergii / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me