Berita telah muncul bahawa versi terinfeksi PC popular dan perisian pengoptimuman Android CCleaner telah menyebarkan malware ke sejumlah besar pengguna komputer. Wahyu pertama kali melanda web pada hari Isnin pagi, apabila pemaju perisian Piriform menerbitkan jawatan blog pada subjek. Berita baiknya ialah hanya orang yang menjalankan CCleaner pada sistem Windows 32-bit yang terjejas.


Sejak cerita pertama kali pecah, syarikat keselamatan komputer Avast telah mengumumkan bahawa sehingga 2.27 juta pengguna CCleaner mungkin telah terjejas oleh malware yang tersembunyi dalam versi rasmi perisian pengoptimuman prestasi PC yang popular. Sejak itu, penyelidikan dari Cisco telah mendedahkan bahawa jumlah sebenar jangkitan adalah lebih rendah, sekitar 700,000 PC.

Menurut catatan blog oleh Piriform, salinan CCleaner yang dijangkiti disebarkan antara 15 Ogos dan 12 September. Piriform mengatakan bahawa versi perisian yang dikompromikan ialah CCleaner 5.33.6162 dan CCleaner Cloud 1.07.3191.

Piriform menggesa semua pengguna CCleaner untuk memuat turun versi 5.34 atau lebih tinggi secepat mungkin. Perlu diingat bahawa pengguna CCleaner Cloud akan menerima kemas kini secara automatik. Walau bagaimanapun, pengguna CCleaner yang lain mungkin masih menjalankan versi yang dikompromi, jadi mengemaskini secara manual sangat penting bagi pengguna tersebut.

Belum diketahui bagaimana peretas berjaya menyembunyikan kod jahat dalam versi rasmi CCleaner. Dari catatan blog Piriform:

"Kami mendapati bahawa versi CCleaner 5.33.6162 dan versi 1.07.3191 CCleaner Cloud diubah suai secara haram sebelum ia dikeluarkan kepada orang ramai, dan kami memulakan proses penyiasatan. Kami juga segera menghubungi unit penguatkuasaan undang-undang dan bekerjasama dengan mereka untuk menyelesaikan masalah ini. "

"Bukan Sensitif" Data Dicuri

Setakat ini Piriform telah dapat memastikan bahawa perisian hasad berkomunikasi dengan pelayan Perintah dan Kawalan (CnC) yang terletak di AS. Peretas nampaknya telah menggunakan perisian hasad untuk menuai apa yang digambarkan oleh firma itu sebagai data "tidak sensitif".

Data itu termasuk nama komputer pengguna, alamat IP, senarai komprehensif perisian yang dipasang pada mesin mereka, senarai perisian aktif, dan senarai adapter rangkaian. Piriform telah memberitahu pengguna bahawa:

"Kami tidak mempunyai petunjuk bahawa sebarang data lain telah dihantar ke pelayan.

"Bekerja dengan penguatkuasaan undang-undang AS, kami menyebabkan pelayan ini ditutup pada 15 September sebelum sebarang bahaya yang diketahui telah dilakukan. Adalah menjadi halangan kepada siasatan agensi penguatkuasaan undang-undang untuk umum dengan ini sebelum pelayan dilumpuhkan dan kami menyelesaikan penilaian awal kami, "

Avast

Penglibatan Avast

Menariknya, gergasi keselamatan Avast (yang menyediakan produk keselamatan untuk pengguna komputer di seluruh dunia) baru-baru ini memperoleh pemaju CCleaner Piriform. Pengambilalihan itu dimuktamadkan hanya dua bulan lalu, pada bulan Julai 2017. Atas sebab ini, masa serangan itu adalah sedikit penunjuk kepala, untuk mengatakan paling sedikit. Hakikat bahawa malware yang dibuat ke versi rasmi CCleaner sebelum ia dikeluarkan kepada orang awam boleh bermakna penggodam itu bekerja dari dalam. Hanya masa akan menentukan.

Jurucakap bagi pihak Avast telah membuat komen berikut:

"Kami percaya bahawa pengguna-pengguna ini selamat sekarang kerana siasatan kami menunjukkan bahawa kami dapat melucutkan ancaman sebelum ia dapat melakukan apa-apa kemudaratan.

"Kami menganggarkan bahawa 2.27 juta pengguna mempunyai perisian yang terjejas yang dipasang pada mesin Windows 32-bit."

Beberapa Berita Baik

Walaupun jangkaan jangkitan awal yang besar, ia akan kelihatan bahawa Piriform telah cukup bernasib baik. Pada masa pengambilalihan Avast, ia telah mendakwa bahawa CCleaner mempunyai pengguna aktif 130M yang ramai, termasuk 15 juta pada Android. Oleh sebab jangkitan hanya terhad kepada versi CCleaner yang dijalankan pada PC Windows 32-bit, nampaknya bilangan pengguna CCleaner yang agak kecil telah terjejas (hanya 700,000 mesin, menurut Cisco).

Sasaran Korporat

Sasaran Korporat

Walaupun hanya mensasarkan sebilangan kecil pengguna CCleaner, bukti kini telah muncul bahawa penggodam sangat khusus cuba untuk menjangkiti sasaran korporat. Pengungkapan ini ditemui oleh pakar keselamatan yang menganalisis pelayan CnC yang digunakan oleh penggodam.

Penyelidik di bahagian keselamatan Taliban Cisco mendakwa mereka telah menemui bukti bahawa 20 syarikat besar disasarkan secara khusus untuk jangkitan. Antara firma tersebut ialah Intel, Google, Samsung, Sony, VMware, HTC, Linksys, Microsoft, Akamai, D-Link, dan Cisco sendiri. Menurut Cisco, kira-kira separuh daripada kes tersebut, penggodam berjaya menjangkiti sekurang-kurangnya satu mesin. Ini bertindak sebagai pintu belakang untuk pelayan CnC mereka untuk menghantar muatan yang lebih canggih. Cisco percaya bahawa eksploit bertujuan untuk digunakan untuk pengintipan korporat.

Menariknya, menurut kedua-dua Cisco dan Kaspersky, kod malware yang terkandung di dalam CCleaner berkongsi beberapa kod dengan eksploitasi yang digunakan oleh penggodam kerajaan China yang dikenali sebagai Kumpulan 72, atau Aksiom. Ia terlalu awal untuk diberitahu, tetapi ini mungkin bermakna bahawa cyberattack adalah operasi yang ditaja oleh kerajaan.

Pengurus penyelidikan di Talos, Craig Williams, mengulas,

"Apabila kami mendapati ini pada mulanya, kami tahu ia telah menjangkiti banyak syarikat. Sekarang kita tahu ini digunakan sebagai dragnet untuk menargetkan 20 syarikat di seluruh dunia ... untuk mendapatkan pijakan di syarikat yang mempunyai barang berharga untuk mencuri, termasuk Cisco sayangnya."

Cisco

Terperangkap awal

Syukurlah Piriform dapat melihat serangan awal cukup awal untuk menghentikannya daripada menjadi lebih teruk. Naib Presiden Piriform, Paul Yung, mengulas,

"Pada peringkat ini, kami tidak mahu membuat spekulasi bagaimana kod tidak sah muncul dalam perisian CCleaner, di mana serangan itu berasal dari, berapa lama ia sedang disediakan dan yang berdiri di belakangnya."

Walau bagaimanapun, Cisco dengan cepat menunjukkan bahawa bagi firma yang disasarkan (yang mereka telah dihubungi), hanya mengemas kini CCleaner mungkin tidak mencukupi, kerana muatan sekunder mungkin disembunyikan dalam sistem mereka. Ia boleh berkomunikasi dengan pelayan CnC yang berasingan kepada yang belum diketahui. Itu bererti mungkin bahawa eksploitasi lebih banyak telah dihantar ke mesin-mesin oleh penggodam.

Atas sebab ini, Cisco mengesyorkan bahawa semua mesin yang berpotensi dijangkiti akan dipulihkan untuk suatu masa sebelum versi perisian Piriform yang terkontaminasi dipasang pada mereka.

Cclener Trojan

TR / RedCap.zioqa

Menurut pengguna CCleaner, yang dipanggil Sky87, mereka membuka CCleaner pada hari Selasa untuk memeriksa versi apa yang mereka ada. Pada ketika itu, binary 32-bit telah dikuarantin dengan serta-merta dengan mesej mengenal pasti malware sebagai TR / RedCap.zioqa. TR / RedCap.zioqa adalah trojan yang sudah terkenal dengan pakar keselamatan. Avira merujuknya sebagai,

"Kuda trojan yang dapat mengintip data, melanggar privasi anda, atau melakukan pengubahsuaian yang tidak diinginkan ke sistem."

Apa nak buat

Sekiranya anda bimbang tentang versi CCleaner anda, semak sistem anda untuk kunci pendaftaran Windows. Untuk melakukannya pergi ke: HKEY_LOCAL_MACHINE >PERISIAN >Piriform >Agomo. Jika folder Agomo hadir maka akan ada dua nilai, bernama MUID dan TCID. Isyarat ini bahawa mesin anda memang dijangkiti.

Perlu diingat, bahawa mengemaskini sistem anda kepada CCleaner versi 5.34 tidak mengeluarkan kunci Agomo dari registri Windows. Ia hanya menggantikan executable yang berniat jahat dengan yang sah, supaya malware tidak lagi menimbulkan ancaman. Justeru, jika anda telah mengemas kini versi terbaru CCleaner dan melihat Kunci Agomo, ini bukan sesuatu yang perlu diambil perhatian.

Bagi sesiapa yang takut sistem mereka boleh dijangkiti dengan versi TR / RedCap.zioqa trojan, nasihat terbaik adalah menggunakan pengesanan malware percuma dan alat penyingkiran SpyHunter. Sebagai alternatif, terdapat panduan langkah demi langkah untuk mengeluarkan trojan di sini.

Pendapat adalah penulis sendiri.

Kredit imej tajuk: Tangkapan skrin logo CCleaner.

Kredit gambar: dennizn / Shutterstock.com, Vintage Tone / Shutterstock.com, Denis Linine / Shutterstock.com, Iaremenko Sergii / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me