Popüler PC ve Android optimizasyon yazılımı CCleaner'in virüslü bir versiyonunun çok sayıda bilgisayar kullanıcısına kötü amaçlı yazılım yaydığı yönünde haberler geldi. Vahiy ilk olarak Pazartesi sabahı, yazılımın geliştiricisi Piriform'un konuyla ilgili bir blog yazısı yayınladığı Pazartesi günü başladı. İyi haber şu ki, sadece 32 bit Windows sistemlerinde CCleaner'ı çalıştıran insanlar etkilendi.


Hikaye ilk çıktığından bu yana, bilgisayar güvenlik firması Avast, popüler PC performans optimizasyon yazılımının resmi sürümlerinde gizlenen kötü amaçlı yazılımlardan 2,27 milyona kadar CCleaner kullanıcısının etkilendiğini açıkladı. O zamandan beri, Cisco'nun araştırması, gerçek enfeksiyon sayısının yaklaşık 700.000 PC'de daha düşük olduğunu ortaya koydu..

Piriform'un blog yazısına göre, CCleaner'ın enfekte olmuş kopyaları 15 Ağustos ve 12 Eylül arasında dağıtıldı. Piriform, yazılımının güvenliği ihlal edilmiş sürümlerinin CCleaner 5.33.6162 ve CCleaner Cloud 1.07.3191 olduğunu söylüyor.

Piriform, tüm CCleaner kullanıcılarını mümkün olan en kısa sürede 5.34 veya daha yüksek bir sürümü indirmeye çağırıyor. CCleaner Cloud kullanıcılarının güncellemeyi otomatik olarak alacağını belirtmek gerekir. Bununla birlikte, diğer CCleaner kullanıcıları hala güvenliği ihlal edilmiş sürümü kullanıyor olabilir, bu nedenle manuel olarak güncelleme bu tüketiciler için son derece önemlidir.

Bilgisayar korsanlarının CCleaner'ın resmi sürümünde kötü niyetli kodu gizlemeyi nasıl başardıkları henüz bilinmiyor. Piriform’ın blog gönderisinden:

“CCleaner'ın 5.33.6162 sürümünün ve CCleaner Cloud'un 1.07.3191 sürümünün halka sunulmadan önce yasadışı bir şekilde değiştirildiğini tespit ettik ve bir soruşturma süreci başlattık. Ayrıca hemen kolluk kuvvetleriyle temasa geçtik ve onlarla sorunu çözme konusunda birlikte çalıştık. ”

"Hassas Değil" Çalınan Veriler

Piriform şu ana kadar kötü amaçlı yazılımın ABD'de bulunan bir Komuta ve Kontrol (CnC) sunucusuyla iletişim kurduğunu tespit edebildi. Bilgisayar korsanları, firmanın "hassas olmayan" veri olarak tanımladığı verileri toplamak için kötü amaçlı yazılımı kullandıkları anlaşılıyor.

Bu veriler kullanıcının bilgisayar adını, IP adresini, makinelerine kapsamlı bir yüklü yazılım listesini, etkin yazılım listesini ve ağ bağdaştırıcılarının listesini içerir. Piriform kullanıcılara şunları bildirdi:

“Sunucuya başka herhangi bir verinin gönderildiğine dair hiçbir işaretimiz yok.

“ABD kolluk kuvvetleriyle çalışırken, bilinen herhangi bir zarar verilmeden önce 15 Eylül'de bu sunucunun kapatılmasına neden olduk. Sunucu devre dışı bırakılmadan ve ilk değerlendirmemizi tamamlamadan önce kolluk kuvvetlerinin bu konuda halka açılması soruşturmasında bir engel olurdu ”dedi.

dur

Avast’ın Katılımı

İlginç bir şekilde, güvenlik devi Avast (dünya çapında bilgisayar kullanıcıları için güvenlik ürünleri sağlıyor) CCleaner'ın geliştiricisi Piriform'ı kısa süre önce satın aldı. Bu satın alma sadece iki ay önce, Temmuz 2017'de sonlandırıldı. Bu nedenle, saldırının zamanlaması, en azından söylemek gerekirse, biraz kafa kaşıyıcıdır. Kötü amaçlı yazılımın CCleaner'ın halka açıklanmadan önce resmi bir sürümüne dönüştürmesi, bilgisayar korsanının içeriden çalıştığı anlamına gelebilir. Sadece zaman gösterecek.

Avast adına bir sözcü aşağıdaki yorumları yaptı:

“Araştırmamızın tehdidi herhangi bir zarar vermeden önce silahsızlandırdığımızı gösterdiğinden, bu kullanıcıların artık güvenli olduğuna inanıyoruz.

“2.27 milyon kullanıcının 32 bit Windows makinelerinde etkilenen yazılıma sahip olduğunu tahmin ediyoruz.”

Bazı İyi Haberler

İlk enfeksiyon tahminine rağmen, Piriform'un oldukça şanslı olduğu anlaşılıyor. Avast’ın satın alınması sırasında, CCleaner’ın Android'de 15M dahil olmak üzere 130 milyon aktif kullanıcısı olduğu iddia edildi. Enfeksiyonun yalnızca 32 bit Windows PC'lerde çalışan CCleaner sürümleriyle sınırlı olması nedeniyle, göreceli olarak az sayıda CCleaner kullanıcısının etkilendiği görülüyor (Cisco'ya göre sadece 700.000 makine).

Kurumsal Hedefler

Kurumsal Hedefler

Çok az sayıda CCleaner kullanıcısını hedeflemesine rağmen, bilgisayar korsanlarının çok özel olarak kurumsal hedefleri etkilemeye çalıştıklarına dair kanıtlar ortaya çıktı. Bu vahiy, bilgisayar korsanı tarafından kullanılan CnC sunucusunu analiz eden güvenlik uzmanları tarafından ortaya çıkarıldı.

Cisco'nun Talos güvenlik bölümündeki araştırmacılar, 20 büyük şirketin özellikle enfeksiyon için hedeflendiğine dair kanıt bulduklarını iddia ediyorlar. Bu firmalar arasında Intel, Google, Samsung, Sony, VMware, HTC, Linksys, Microsoft, Akamai, D-Link ve Cisco var. Cisco'ya göre, bu vakaların yaklaşık yarısında, bilgisayar korsanları en az bir makineye bulaşmayı başardı. Bu, daha sofistike bir yük sağlamak için CnC sunucuları için arka kapı görevi gördü. Cisco, istismarın kurumsal casusluk amaçlı kullanılması gerektiğine inanıyor.

İlginç bir şekilde, hem Cisco hem de Kaspersky'ye göre, CCleaner içindeki kötü amaçlı yazılım kodu, Grup 72 veya Axiom olarak bilinen Çinli hükümet korsanlarının kullandığı istismarlarla bazı kodları paylaşıyor. Söylemek için çok erken, ancak bu siber saldırının devlet destekli bir operasyon olduğu anlamına gelebilir.

Talos Araştırma Yöneticisi, Craig Williams, yorumlar,

"Bunu başlangıçta bulduğumuzda, birçok şirkete bulaştığını biliyorduk. Şimdi biliyoruz ki, bu dünya çapında 20 şirketi hedeflemek için bir dragnet olarak kullanılıyor ... maalesef Cisco da dahil olmak üzere çalmak için değerli şeyleri olan şirketlerde yer tutmak."

Cisco

Erken Yakalandı

Neyse ki Piriform, saldırıyı daha da kötüleşmesini engelleyecek kadar erken tespit edebildi. Piriform’in başkan yardımcısı Paul Yung, yorumlar,

“Bu aşamada, yetkisiz kodun CCleaner yazılımında nasıl göründüğünü, saldırının nereden kaynaklandığını, ne kadar süredir hazırlandığını ve kimin arkasında durduğunu tahmin etmek istemiyoruz.”

Bununla birlikte, Cisco, hedeflenen (zaten temasa geçtikleri) firmalar için, CCleaner'ı güncellemenin yeterli olmayabileceğine dikkat çekti, çünkü ikincil yük sistemlerinde gizlenebilir. Şimdiye kadar ortaya çıkarılan sunucuya ayrı bir CnC sunucusu ile iletişim kuruyor olabilir. Bu, bilgisayar korsanları tarafından bu makinelerde daha fazla istismarın gerçekleştirilmesinin mümkün olduğu anlamına gelir.

Bu nedenle Cisco, potansiyel olarak enfekte olmuş tüm makinelerin Piriform’un yazılımının kirli sürümünün üzerlerine yüklenmesinden önceki bir zamana geri yüklenmesini tavsiye ediyor.

Cclener Truva Atı

TR / RedCap.zioqa

Sky87 adlı bir CCleaner kullanıcısına göre, Salı günü hangi sürüme sahip olduklarını kontrol etmek için CCleaner'ı açtılar. Bu noktada, 32 bit ikilik, kötü amaçlı yazılımı TR / RedCap.zioqa olarak tanımlayan bir mesajla anında karantinaya alındı. TR / RedCap.zioqa, güvenlik uzmanları tarafından zaten bilinen bir truva atıdır. Avira buna,

"Verileri casusluk edebilen, gizliliğinizi ihlal edebilen veya sistemde istenmeyen değişiklikler yapabilen bir truva atı."

Ne yapalım

CCleaner sürümünüzle ilgili endişeleriniz varsa, sisteminizde bir Windows kayıt defteri anahtarı olup olmadığını kontrol edin. Bunu yapmak için şu adrese gidin: HKEY_LOCAL_MACHINE >YAZILIM >Piriform >Agomo. Agomo klasörü varsa, MUID ve TCID adında iki değer olacaktır. Bu, makinenize gerçekten bulaşmış olduğunu gösterir.

Sisteminizi CCleaner sürüm 5.34'e güncellemenin Agomo anahtarını Windows kayıt defterinden kaldırmayacağını belirtmek gerekir. Kötü amaçlı yürütülebilir dosyaları yalnızca meşru olanlarla değiştirir, böylece kötü amaçlı yazılım artık bir tehdit oluşturmaz. Bu nedenle, CCleaner'ın en son sürümüne zaten güncellediyseniz ve Agomo Anahtarını görüyorsanız, bu endişe edilecek bir şey değildir.

Sistemlerinden korkan herkes için TR / RedCap.zioqa trojanının bir sürümü ile enfekte olabilir, en iyi tavsiye ücretsiz kötü amaçlı yazılım algılama ve kaldırma aracı SpyHunter kullanmaktır. Alternatif olarak, burada truva atını çıkarmak için adım adım bir kılavuz var.

Görüşler yazarın kendi.

Başlık resim kredisi: CCleaner logosunun ekran görüntüsü.

Fotoğraf: dennizn / Shutterstock.com, Vintage Tone / Shutterstock.com, Denis Linine / Shutterstock.com, Iaremenko Sergii / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me