Berita telah muncul bahwa versi terinfeksi dari PC populer dan perangkat lunak optimasi Android CCleaner telah menyebarkan malware ke sejumlah besar pengguna komputer. Pengungkapan pertama kali mengenai web pada Senin pagi, ketika pengembang perangkat lunak Piriform menerbitkan posting blog pada subjek. Berita baiknya adalah hanya orang yang menjalankan CCleaner pada sistem Windows 32-bit yang terpengaruh.


Sejak cerita pertama kali pecah, perusahaan keamanan komputer Avast telah mengumumkan bahwa hingga 2,27 juta pengguna CCleaner mungkin telah dipengaruhi oleh malware yang disembunyikan dalam versi resmi perangkat lunak pengoptimalan kinerja PC yang populer. Sejak itu, penelitian dari Cisco telah mengungkapkan bahwa jumlah sebenarnya infeksi lebih rendah, sekitar 700.000 PC.

Menurut posting blog oleh Piriform, salinan CCleaner yang terinfeksi disebarluaskan antara 15 Agustus dan 12 September. Piriform mengatakan bahwa versi perangkat lunaknya yang dikompromikan adalah CCleaner 5.33.6162 dan CCleaner Cloud 1.07.3191.

Piriform mendesak semua pengguna CCleaner untuk mengunduh versi 5.34 atau lebih tinggi sesegera mungkin. Perlu dicatat bahwa pengguna CCleaner Cloud akan menerima pembaruan secara otomatis. Namun, pengguna CCleaner lain mungkin masih menjalankan versi yang dikompromikan, jadi memperbarui secara manual sangat penting bagi konsumen tersebut.

Belum diketahui bagaimana peretas berhasil menyembunyikan kode jahat dalam versi resmi CCleaner. Dari posting blog Piriform:

“Kami menemukan bahwa versi CCleaner versi 5.33.6162 dan versi CCleaner Cloud versi 1.07.3191 dimodifikasi secara ilegal sebelum dirilis ke publik, dan kami memulai proses investigasi. Kami juga segera menghubungi unit penegak hukum dan bekerja dengan mereka untuk menyelesaikan masalah. ”

"Tidak peka" Data Dicuri

Sejauh ini Piriform telah dapat memastikan bahwa malware itu berkomunikasi dengan server Command and Control (CnC) yang berlokasi di AS. Peretas tampaknya telah menggunakan malware untuk memanen apa yang digambarkan perusahaan sebagai data "tidak sensitif".

Data itu termasuk nama komputer pengguna, alamat IP, daftar lengkap perangkat lunak yang diinstal pada mesin mereka, daftar perangkat lunak yang aktif, dan daftar adaptor jaringan. Piriform telah memberi tahu pengguna bahwa:

“Kami tidak memiliki indikasi bahwa data lain telah dikirim ke server.

“Bekerja dengan penegak hukum AS, kami menyebabkan server ini ditutup pada tanggal 15 September sebelum kerusakan yang diketahui terjadi. Itu akan menjadi hambatan bagi penyelidikan lembaga penegak hukum untuk go public dengan ini sebelum server dinonaktifkan dan kami menyelesaikan penilaian awal kami, "

Avast

Keterlibatan Avast

Yang menarik, raksasa keamanan Avast (yang menyediakan produk keamanan untuk pengguna komputer di seluruh dunia) baru-baru ini mengakuisisi Piriform pengembang CCleaner. Akuisisi itu diselesaikan hanya dua bulan yang lalu, pada bulan Juli 2017. Untuk alasan ini, waktu serangan itu sedikit menggaruk, untuk sedikitnya. Fakta bahwa malware berhasil masuk ke versi resmi CCleaner sebelum dirilis ke publik dapat berarti peretas bekerja dari dalam. Hanya waktu yang akan memberitahu.

Seorang juru bicara atas nama Avast telah membuat komentar berikut:

“Kami percaya bahwa para pengguna ini aman sekarang karena investigasi kami mengindikasikan bahwa kami dapat melucuti ancaman sebelum dapat membahayakan..

"Kami memperkirakan bahwa 2,27 juta pengguna menginstal perangkat lunak yang terpengaruh pada mesin Windows 32-bit."

Kabar Baik

Terlepas dari perkiraan awal infeksi yang besar, tampaknya Piriform cukup beruntung. Pada saat akuisisi Avast, diklaim bahwa CCleaner memiliki 130 juta pengguna aktif, termasuk 15 juta di Android. Karena fakta bahwa infeksi hanya terbatas pada versi CCleaner yang berjalan pada PC Windows 32-bit, tampaknya jumlah pengguna CCleaner yang relatif kecil terpengaruh (hanya 700.000 mesin, menurut Cisco).

Target Perusahaan

Target Perusahaan

Meskipun hanya menargetkan sejumlah kecil pengguna CCleaner, bukti sekarang telah muncul bahwa para peretas secara khusus berusaha untuk menginfeksi target perusahaan. Wahyu ini ditemukan oleh para pakar keamanan yang menganalisis server CnC yang digunakan oleh peretas.

Para peneliti di divisi keamanan Cisco Talos mengklaim mereka telah menemukan bukti bahwa 20 perusahaan besar secara khusus menjadi sasaran infeksi. Di antara perusahaan-perusahaan itu adalah Intel, Google, Samsung, Sony, VMware, HTC, Linksys, Microsoft, Akamai, D-Link, dan Cisco sendiri. Menurut Cisco, dalam sekitar setengah dari kasus-kasus itu, para peretas berhasil menginfeksi setidaknya satu mesin. Ini bertindak sebagai pintu belakang untuk server CnC mereka untuk memberikan muatan yang lebih canggih. Cisco percaya bahwa eksploitasi dimaksudkan untuk digunakan untuk spionase perusahaan.

Menariknya, menurut Cisco dan Kaspersky, kode malware yang terkandung dalam CCleaner berbagi beberapa kode dengan eksploit yang digunakan oleh peretas pemerintah Cina yang dikenal sebagai Grup 72, atau Axiom. Masih terlalu dini untuk mengatakannya, tetapi ini mungkin berarti bahwa serangan siber adalah operasi yang disponsori negara.

Manajer penelitian di Talos, Craig Williams, berkomentar,

"Ketika kami menemukan ini pada awalnya, kami tahu itu telah menginfeksi banyak perusahaan. Sekarang kita tahu ini digunakan sebagai jaring untuk menargetkan 20 perusahaan ini di seluruh dunia ... untuk mendapatkan pijakan di perusahaan yang memiliki barang berharga untuk dicuri, termasuk Cisco sayangnya."

Cisco

Tertangkap Dini

Syukurlah Piriform mampu mengenali serangan itu cukup awal untuk menghentikannya menjadi jauh lebih buruk. Wakil presiden Piriform, Paul Yung, berkomentar,

"Pada tahap ini, kami tidak ingin berspekulasi bagaimana kode yang tidak sah muncul dalam perangkat lunak CCleaner, dari mana serangan itu berasal, berapa lama itu disiapkan dan siapa yang berdiri di belakangnya."

Namun, Cisco dengan cepat menunjukkan bahwa untuk perusahaan yang menjadi target (yang telah mereka hubungi), memperbarui CCleaner mungkin tidak cukup, karena muatan sekunder dapat disembunyikan dalam sistem mereka. Itu bisa berkomunikasi dengan server CnC terpisah dengan yang sejauh ini telah terungkap. Itu berarti ada kemungkinan bahwa lebih banyak eksploitasi telah dikirimkan ke mesin-mesin itu oleh para peretas.

Untuk alasan ini, Cisco merekomendasikan agar semua mesin yang berpotensi terinfeksi dipulihkan ke masa sebelum versi terkontaminasi dari perangkat lunak Piriform diinstal pada mereka.

Trojan Cclener

TR / RedCap.zioqa

Menurut salah satu pengguna CCleaner, yang disebut Sky87, mereka membuka CCleaner pada hari Selasa untuk memeriksa versi apa yang mereka miliki. Pada saat itu, biner 32-bit langsung dikarantina dengan pesan yang mengidentifikasi malware sebagai TR / RedCap.zioqa. TR / RedCap.zioqa adalah trojan yang sudah dikenal oleh para pakar keamanan. Avira menyebutnya sebagai,

"Seekor kuda trojan yang dapat memata-matai data, melanggar privasi Anda, atau melakukan modifikasi yang tidak diinginkan pada sistem."

Apa yang harus dilakukan

Jika Anda khawatir tentang versi CCleaner Anda, periksa sistem Anda untuk kunci registri Windows. Untuk melakukannya, buka: HKEY_LOCAL_MACHINE >PERANGKAT LUNAK >Piriform >Agomo. Jika folder Agomo ada akan ada dua nilai, bernama MUID dan TCID. Ini menandakan bahwa mesin Anda memang terinfeksi.

Perlu dicatat, bahwa memperbarui sistem Anda ke CCleaner versi 5.34 tidak menghapus kunci Agomo dari registri Windows. Itu hanya menggantikan executable berbahaya dengan yang sah, sehingga malware tidak lagi menjadi ancaman. Dengan demikian, jika Anda telah memperbarui ke versi terbaru CCleaner dan melihat Agomo Key, ini bukan sesuatu yang perlu dikhawatirkan..

Bagi siapa pun yang khawatir sistem mereka dapat terinfeksi dengan versi TR / RedCap.zioqa trojan, saran terbaik adalah menggunakan alat deteksi dan penghapusan malware gratis SpyHunter. Atau, ada panduan langkah demi langkah untuk menghapus trojan di sini.

Pendapat adalah milik penulis sendiri.

Kredit gambar judul: Screenshot dari logo CCleaner.

Kredit gambar: dennizn / Shutterstock.com, Nada Vintage / Shutterstock.com, Denis Linine / Shutterstock.com, Iaremenko Sergii / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me