Появилась новость, что зараженная версия популярного программного обеспечения для оптимизации ПК и Android CCleaner распространяет вредоносное ПО среди большого числа пользователей компьютеров.. Первое откровение появилось в сети утром в понедельник, когда разработчик программного обеспечения Пириформ опубликовал пост в блоге на эту тему. Хорошей новостью является то, что пострадали только люди, работающие с CCleaner в 32-битных системах Windows..


С момента появления этой истории компания Avast, занимающаяся компьютерной безопасностью, объявила, что вредоносное ПО, скрытое в официальных версиях популярного программного обеспечения для оптимизации производительности ПК, могло затронуть до 2,27 миллиона пользователей CCleaner. С тех пор исследование Cisco показало, что истинное количество заражений меньше, около 700 000 ПК.

Согласно сообщению в блоге Piriform, зараженные копии CCleaner были распространены в период с 15 августа по 12 сентября. Piriform говорит, что скомпрометированные версии его программного обеспечения - CCleaner 5.33.6162 и CCleaner Cloud 1.07.3191.

Piriform призывает всех пользователей CCleaner как можно скорее загрузить версию 5.34 или выше. Стоит отметить, что пользователи CCleaner Cloud получат обновление автоматически. Однако другие пользователи CCleaner могут по-прежнему использовать скомпрометированную версию, поэтому обновление вручную крайне важно для этих потребителей..

Пока неизвестно, как хакерам удалось скрыть злой код в официальной версии CCleaner. Из сообщения в блоге Piriform:

«Мы обнаружили, что версия CCleaner версии 5.33.6162 и версия CCleaner Cloud от 1.07.3191 были незаконно изменены, прежде чем они были опубликованы, и начали процесс расследования. Мы также немедленно связались с правоохранительными органами и работали с ними над решением проблемы ».

"Не чувствительный" Данные украдены

До сих пор Piriform удалось установить, что вредоносное ПО связывалось с сервером управления и контроля (CnC), расположенным в США. Похоже, хакеры использовали вредоносное ПО для сбора того, что фирма называет «нечувствительными» данными..

Эти данные включают имя компьютера пользователя, IP-адрес, полный список установленного программного обеспечения на его компьютере, список активного программного обеспечения и список сетевых адаптеров. Piriform сообщил пользователям, что:

«У нас нет никаких признаков того, что какие-либо другие данные были отправлены на сервер.

«Работая с правоохранительными органами США, мы заставили этот сервер отключиться 15 сентября, прежде чем будет нанесен какой-либо известный вред. Было бы препятствием для расследования правоохранительных органов, чтобы обнародовать это до того, как сервер был отключен, и мы завершили нашу первоначальную оценку ».

стой

Участие Аваста

Интересно, что гигант безопасности Avast (который предоставляет продукты безопасности для пользователей компьютеров по всему миру) только недавно приобрел разработчика CCleaner Piriform. Это приобретение было завершено всего два месяца назад, в июле 2017 года. По этой причине время атаки является, по меньшей мере, головокружительным ударом. Тот факт, что вредоносная программа попала на официальную версию CCleaner до того, как она была выпущена для общественности, может означать, что хакер работал изнутри. Время покажет.

Представитель от имени Avast сделал следующие комментарии:

«Мы считаем, что эти пользователи теперь в безопасности, так как наше расследование показывает, что мы смогли снять угрозу с охраны, прежде чем она смогла.

«По нашим оценкам, на 32-разрядных компьютерах под управлением Windows установлено 2,27 миллиона пользователей».

Некоторые хорошие новости

Несмотря на большую первоначальную оценку инфекций, кажется, что Piriform был довольно удачлив. Во время приобретения Avast было заявлено, что CCleaner имеет колоссальные 130 миллионов активных пользователей, в том числе 15 миллионов на Android. Из-за того, что заражение было ограничено только версиями CCleaner, работающими на 32-битных ПК с Windows, похоже, что было затронуто относительно небольшое количество пользователей CCleaner (всего 700 000 машин, по данным Cisco).

Корпоративные цели

Корпоративные цели

Несмотря на то, что они предназначались только для небольшого числа пользователей CCleaner, в настоящее время появились доказательства того, что хакеры очень конкретно пытались заразить корпоративные цели. Это открытие было обнаружено экспертами по безопасности, которые проанализировали сервер CnC, используемый хакером..

Исследователи из отдела безопасности Cisco в Талосе утверждают, что нашли доказательства того, что 20 крупных корпораций были специально направлены на заражение. Среди этих фирм Intel, Google, Samsung, Sony, VMware, HTC, Linksys, Microsoft, Akamai, D-Link и сама Cisco. По данным Cisco, примерно в половине случаев хакерам удалось заразить хотя бы одну машину. Это действовало как бэкдор для их CnC-сервера, чтобы доставить более сложную полезную нагрузку. Cisco считает, что эксплойт предназначался для корпоративного шпионажа.

Интересно, что, по мнению Cisco и Kaspersky, вредоносный код, содержащийся в CCleaner, разделяет некоторый код с эксплойтами, используемыми китайскими правительственными хакерами, известными как Group 72 или Axiom. Пока рано говорить, но это может означать, что кибератака была спонсируемой государством операцией.

Комментарии менеджера по исследованиям в Талосе, Крейг Уильямс, комментарии,

"Когда мы обнаружили это первоначально, мы знали, что это заразило много компаний. Теперь мы знаем, что это использовалось в качестве средства для нацеливания на эти 20 компаний по всему миру ... чтобы закрепиться в компаниях, у которых есть ценные вещи, которые можно украсть, включая, к сожалению, Cisco."

Cisco

Рано поймали

К счастью, Пириформ смог обнаружить атаку достаточно рано, чтобы предотвратить ее усиление. Вице-президент Piriform, Пол Юнг, комментирует,

«На данном этапе мы не хотим рассуждать о том, как неавторизованный код появился в программном обеспечении CCleaner, откуда взялась атака, как долго она готовилась и кто за ней стоял».

Однако Cisco поспешила указать, что для целевых фирм (с которыми они уже связались) простого обновления CCleaner может быть недостаточно, поскольку вторичная полезная нагрузка может быть скрыта в их системах. Это может быть связь с отдельным сервером CnC с тем, который до сих пор был обнаружен. Это означает, что, возможно, хакеры доставили на эти машины еще больше эксплойтов..

По этой причине Cisco рекомендует восстановить все потенциально зараженные машины до того времени, пока на них не будет установлена ​​зараженная версия программного обеспечения Piriform..

Cclener Trojan

TR / RedCap.zioqa

По словам одного пользователя CCleaner по имени Sky87, во вторник они открыли CCleaner, чтобы проверить, какая версия у них есть. В этот момент 32-разрядный двоичный файл был немедленно помещен на карантин с сообщением, идентифицирующим вредоносное ПО как TR / RedCap.zioqa. TR / RedCap.zioqa - это троян, который уже хорошо известен специалистам по безопасности. Авира относится к нему как,

«Троянский конь, способный шпионить за данными, нарушать вашу конфиденциальность или выполнять нежелательные изменения в системе».

Что делать

Если вас беспокоит ваша версия CCleaner, проверьте в вашей системе ключ реестра Windows. Для этого перейдите по адресу: HKEY_LOCAL_MACHINE >ПРОГРАМНОЕ ОБЕСПЕЧЕНИЕ >Piriform >Agomo. Если папка Agomo присутствует, будет два значения, названных MUID и TCID. Это говорит о том, что ваша машина действительно заражена.

Стоит отметить, что обновление вашей системы до CCleaner версии 5.34 не удаляет ключ Agomo из реестра Windows. Он только заменяет вредоносные исполняемые файлы легитимными, чтобы вредоносная программа больше не представляла угрозу. Таким образом, если вы уже обновились до последней версии CCleaner и увидели Ключ Agomo, это не то, о чем следует беспокоиться.

Для тех, кто боится, что их система может быть заражена версией трояна TR / RedCap.zioqa, лучший совет - использовать бесплатное средство обнаружения и удаления вредоносных программ SpyHunter. В качестве альтернативы, здесь есть пошаговое руководство по удалению трояна..

Мнения автора.

Название изображения: Скриншот логотипа CCleaner.

Изображение предоставлено: dennizn / Shutterstock.com, Vintage Tone / Shutterstock.com, Денис Лайн / Shutterstock.com, Яременко Сергей / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me