Pojavile so se novice, da se okužena različica priljubljene programske opreme za optimizacijo računalnikov in Android CCleaner širi zlonamerno programsko opremo na večje število uporabnikov računalnikov. Razodetje je prvič prišlo na splet v ponedeljek zjutraj, ko je razvijalec programske opreme Piriform objavil objavo v dnevniku o tej temi. Dobra novica je, da so bili prizadeti samo ljudje, ki vodijo CCleaner v 32-bitnih sistemih Windows.

Ker se je zgodba prvič zlomila, je računalniško varnostno podjetje Avast objavilo, da je do 2,27 milijona uporabnikov CCleaner morda prizadelo zlonamerno programsko opremo, ki je bila skrita v uradnih različicah priljubljene programske opreme za optimizacijo računalnika. Od takrat so raziskave družbe Cisco pokazale, da je resnično število okužb nižje, in sicer pri približno 700.000 osebnih računalnikih.

Po pisanju spletnega dnevnika Piriform so bile okužene kopije CCleanerja razširjene med 15. avgustom in 12. septembrom. Piriform pravi, da sta bili ogroženi različici programske opreme CCleaner 5.33.6162 in CCleaner Cloud 1.07.3191.

Piriform poziva vse uporabnike CCleanerja, naj čim prej prenesejo različico 5.34 ali novejšo. Omeniti velja, da bodo uporabniki CCleaner Cloud posodobitev prejeli samodejno. Vendar lahko drugi uporabniki CCleanerja še vedno poganjajo ogroženo različico, zato je za te potrošnike izjemno pomembno ročno posodabljanje.

Ni še znano, kako je hekerjem uspelo skriti zlonamerno kodo v uradni različici CCleanerja. Iz objave spletnega dnevnika Piriform:


"Ugotovili smo, da sta bili različici 5.3leanerga CCleaner in različica 1.07.3191 CCleaner Cloud nezakonito spremenjena, preden je bila objavljena javnosti, in začeli smo postopek preiskave. Takoj smo se obrnili na enote pregona in z njimi sodelovali pri reševanju vprašanja. "

"Neobčutljiv" Podatki ukradeni

Do zdaj je Piriform lahko ugotovil, da je zlonamerna programska oprema komunicirala s strežnikom Command and Control (CnC), ki se nahaja v ZDA. Zdi se, da so hekerji zlonamerno programsko opremo uporabili za pridobivanje podatkov, ki jih podjetje opisuje kot "neobčutljive" podatke.

Ti podatki vključujejo uporabnikovo računalniško ime, IP naslov, obsežen seznam nameščene programske opreme na njihovem računalniku, seznam aktivne programske opreme in seznam omrežnih adapterjev. Piriform je uporabnike obvestil, da:

"Nimamo nobenih znakov, da so bili kakršni koli drugi podatki poslani strežniku.

"S sodelovanjem z ameriškimi organi kazenskega pregona smo 15. septembra ustavili ta strežnik, preden je bila znana škoda storjena. Za preiskavo agencije za pregon bi to javno objavilo, preden je bil strežnik onemogočen in smo zaključili prvotno oceno, "

Avast

Avastova udeležba

Zanimivo je, da je varnostni gigant Avast (ki zagotavlja varnostne izdelke za računalniške uporabnike po vsem svetu) šele pred kratkim kupil CCleanerjev razvijalci Piriform. Ta pridobitev je bila dokončana pred slabima dvema mesecema, julija 2017. Zaradi tega je čas napada najmanj rekel glavo. Dejstvo, da se je zlonamerna programska oprema postavila na uradno različico CCleanerja pred objavo v javnost, lahko pomeni, da je heker deloval od znotraj. Samo čas bo povedal.

Tiskovni predstavnik Avasta je dal naslednje pripombe:

"Prepričani smo, da so ti uporabniki zdaj varni, saj naša preiskava kaže, da smo grožnjo lahko razorožili, še preden smo lahko naredili škodo..

"Ocenjujemo, da je imela 2,27 milijona uporabnikov programsko opremo nameščeno na 32-bitnih sistemih Windows."

Nekaj ​​dobrih novic

Kljub veliki začetni oceni okužb se zdi, da ima Piriform precej srečo. Ob prevzemu Avasta so trdili, da ima CCleaner ogromnih 130 milijonov aktivnih uporabnikov, od tega 15 milijonov za Android. Zaradi dejstva, da je bila okužba omejena samo na različice CCleanerja, ki delujejo na 32-bitnih računalnikih z Windows, se zdi, da je bilo prizadeto sorazmerno majhno število uporabnikov CCleanerja (samo 700.000 strojev po navedbah Cisca).

Korporativni cilji

Korporativni cilji

Kljub temu, da so ciljno usmerili le majhno število uporabnikov CCleanerja, so se zdaj pojavili dokazi, da so hekerji poskušali okužiti podjetniške cilje. To razkritje so odkrili varnostni strokovnjaki, ki so analizirali strežnik CnC, ki ga uporablja heker.

Raziskovalci Ciscovega oddelka za varnost Talos trdijo, da so našli dokaze, da je bilo 20 velikih korporacij namenjenih posebej okužbi. Med temi podjetji so Intel, Google, Samsung, Sony, VMware, HTC, Linksys, Microsoft, Akamai, D-Link in sam Cisco. Po navedbah podjetja Cisco so hekerji v približno polovici teh primerov uspeli okužiti vsaj en stroj. To je služilo kot zakulisje njihovega CnC strežnika za zagotavljanje bolj sofisticirane koristne obremenitve. Cisco verjame, da je bil namen izkoriščanja namenjen podjetniškemu vohunjenju.

Zanimivo je, da po besedah ​​Cisca in Kasperskyja koda zlonamerne programske opreme, ki jo vsebuje CCleaner, deli neko kodo s podvigi, ki jih uporabljajo kitajski vladni hekerji, znani kot Skupina 72, ali Axiom. Prezgodaj je povedati, vendar to lahko pomeni, da je kibernetski napad potekal s strani države.

Vodja raziskav v Talosu, Craig Williams, komentira,

"Ko smo to najprej ugotovili, smo vedeli, da je okužilo veliko podjetij. Zdaj vemo, da se je to uporabljalo kot dranet za ciljanje na teh 20 podjetij po vsem svetu ..., da bi se uveljavili v podjetjih, ki bi lahko ukradle dragocene stvari, vključno s Cisco na žalost."

Cisco

Ujeto zgodaj

K sreči je Piriform napad lahko opazil dovolj zgodaj, da ga ni mogel še poslabšati. Podpredsednik podjetja Piriform, Paul Yung, komentira,

"Na tej stopnji ne želimo ugibati, kako se je nedovoljena koda pojavila v programski opremi CCleaner, od kod izvira napad, kako dolgo se je pripravljal in kdo je stal za njim."

Vendar je Cisco hitro opozoril, da za ciljna podjetja (s katerimi so že stopili v stik) preprosto posodabljanje CCleanerja morda ne bo dovolj, ker se lahko sekundarna koristna obremenitev prikrije znotraj njihovih sistemov. Lahko se komunicira z ločenim strežnikom CnC s tistim, ki je bil doslej odkrit. To pomeni, da je mogoče hekerjem na te stroje dostaviti še več podvigov.

Zaradi tega Cisco priporoča, da se vsi potencialno okuženi stroji obnovijo v času, preden je na njih nameščena kontaminirana različica programske opreme Piriform.

Cclener Trojan

TR / RedCap.zioqa

Po besedah ​​enega uporabnika CCleanerja, imenovanega Sky87, so v torek odprli CCleaner in preverili, kakšno različico imajo. V tistem trenutku je bil 32-bitni binarni program takoj v karanteni s sporočilom, ki škodljivo programsko opremo identificira kot TR / RedCap.zioqa. TR / RedCap.zioqa je trojanski program, ki ga varnostni strokovnjaki že dobro poznajo. Avira navaja kot,

"Trojanski konj, ki lahko izvidi podatke, krši vašo zasebnost ali izvede neželene spremembe sistema."

Kaj storiti

Če vas skrbi vaša različica CCleanerja, preverite, ali sistem vsebuje ključ registra Windows. To storite tako: HKEY_LOCAL_MACHINE >PROGRAMSKA OPREMA >Piriform >Agomo. Če obstaja mapa Agomo, bosta na voljo dve vrednosti, imenovani MUID in TCID. To pomeni, da je vaš stroj res okužen.

Omeniti velja, da posodabljanje sistema do CCleaner različice 5.34 ne odstrani ključa Agomo iz registra Windows. Zlonamerne izvršljive datoteke samo nadomesti z legitimnimi, tako da zlonamerna programska oprema ne predstavlja več nevarnosti. Če ste že posodobili najnovejšo različico CCleanerja in videli ključ Agomo, to ne bi smelo biti zaskrbljeno.

Za vse, ki se bojite, da bi njihov sistem lahko bil okužen z različico trojanske različice TR / RedCap.zioqa, je najboljši nasvet uporaba brezplačnega orodja za odkrivanje in odstranjevanje zlonamerne programske opreme SpyHunter. Tukaj je tudi navodila za odstranjevanje trojanskih navodil.

Mnenja so pisatelja lastna.

Kreditna slika naslova: posnetek zaslona logotipa CCleaner.

Sliki slik: dennizn / Shutterstock.com, Vintage Tone / Shutterstock.com, Denis Linine / Shutterstock.com, Iaremenko Sergii / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me