Појавиле су се вести да заражена верзија популарног софтвера за оптимизацију рачунара и Андроид-а ЦЦлеанер шири злонамерни софтвер великом броју корисника рачунара. Откриће се прво појавило на мрежи у понедељак ујутро, када је програмер софтвера Пириформ објавио ту тему на блогу. Добра вест је да су погођени само људи који покрећу ЦЦлеанер на 32-битним Виндовс системима.


Откад се прича први пут пробила, компанија за обезбеђење рачунара Аваст објавила је да је до 2,27 милиона корисника ЦЦлеанер-а можда било под утицајем злонамерног софтвера који је био скривен у службеним верзијама популарног софтвера за оптимизацију перформанси рачунара. Од тада, истраживање компаније Цисцо открило је да је истински број инфекција мањи, на око 700 000 рачунара.

Према писању на блогу компаније Пириформ, заражене копије ЦЦлеанер-а дистрибуиране су између 15. августа и 12. септембра. Пириформ каже да су верзије његовог софтвера који су били угрожени ЦЦлеанер 5.33.6162 и ЦЦлеанер Цлоуд 1.07.3191.

Пириформ позива све кориснике ЦЦлеанер-а да преузму верзију 5.34 или новије верзије што је пре могуће. Вриједно је напоменути да ће корисници ЦЦлеанер Цлоуд-а аутоматски добити ажурирање. Међутим, други корисници ЦЦлеанер-а можда још увек покрећу компромитовану верзију, тако да је ручно ажурирање изузетно важно за те потрошаче.

Још није познато како су хакери успели да сакрију злонамјерни код у службеној верзији ЦЦлеанер-а. Из Пириформовог блога:

„Открили смо да су верзије ЦЦлеанер 5.33.6162 и верзија 1.07.3191 ЦЦлеанер Цлоуд илегално модификоване пре него што су пуштене у јавност, и покренули смо процес истраге. Такође смо одмах контактирали јединице за спровођење закона и радили са њима на решавању проблема. "

"Неосјетљив" Подаци украдени

До сада је Пириформ могао да утврди да је малвер комуницирао са Цомманд анд Цонтрол (ЦнЦ) сервером смештеним у САД-у. Чини се да су хакери користили злонамјерни софтвер да би прикупили оно што фирма описује као "неосјетљиве" податке.

Ти подаци укључују корисничко рачунарско име, ИП адресу, свеобухватну листу инсталираног софтвера на њиховој машини, списак активног софтвера и листу мрежних адаптера. Пириформ је обавестио кориснике да:

„Немамо назнака да су било који други подаци послати на сервер.

„Радећи са америчким органима за спровођење закона, узроковали смо да се овај сервер угаси 15. септембра пре него што се учини било каква позната штета. Било би препрека истрази агенције за спровођење закона да се ово јавно објави пре него што је сервер онемогућен и ми завршимо своју почетну процену. "

Аваст

Авастова укљученост

Занимљиво је да је сигурносни гигант Аваст (који обезбеђује безбедносне производе за рачунарске кориснике широм света) тек недавно купио ЦЦлеанер-ов програмер Пириформ. Та аквизиција је окончана пре само два месеца, јула 2017. Из тог разлога, време напада је у најмању руку мало гребање главе. Чињеница да га је злонамјерни софтвер учинио службеном верзијом ЦЦлеанер-а прије него што је пуштен у јавност могла би значити да хакер ради изнутра. Само ће време показати.

Портпарол у име Аваста дао је следеће коментаре:

„Верујемо да су ови корисници сада на сигурном, јер наша истрага указује да смо могли да разоружамо претњу пре него што смо могли да нанемо било какву штету.

„Процењујемо да је 2,27 милиона корисника погођени софтвер инсталиран на 32-битним Виндовс машинама.“

Добре вести

Упркос великој почетној процени инфекција, чини се да је Пириформ имао среће. У време куповине Аваста, тврдило се да ЦЦлеанер има огромних 130 милиона активних корисника, укључујући 15 милиона на Андроиду. Због чињенице да је зараза била ограничена само на верзије ЦЦлеанер-а који раде на 32-битним Виндовс рачунарима, чини се да је погођен релативно мали број корисника ЦЦлеанер-а (само 700.000 машина, према Цисцу).

Корпоративни циљеви

Корпоративни циљеви

Иако су циљали на само мали број корисника ЦЦлеанер-а, сада су се појавили докази да су хакери врло конкретно покушавали да заразе корпоративне циљеве. Ово откриће открили су стручњаци за безбедност који су анализирали ЦнЦ сервер који користи хакер.

Истраживачи Цисцове службе за безбедност Талос тврде да су пронашли доказе да је 20 великих корпорација било посебно циљано због инфекције. Међу тим фирмама су Интел, Гоогле, Самсунг, Сони, ВМваре, ХТЦ, Линксис, Мицрософт, Акамаи, Д-Линк и сам Цисцо. Према Цисцу, у око половини тих случајева, хакери су успели да заразе бар једну машину. Ово је дјеловало као бацкдоор за њихов ЦнЦ сервер за испоруку софистициранијег корисног оптерећења. Цисцо вјерује да је искориштавање требало да се искористи за шпијунажу предузећа.

Занимљиво је да, како Цисцо тако и Касперски, злонамерни софтвер садржан у ЦЦлеанер-у дели неки код с експлоатацијама које користе кинески владини хакери познати под називом Гроуп 72, или Акиом. Прерано је за рећи, али то може значити да је цибер-напад био операција коју је спонзорисала држава.

Водитељ истраживања у Талосу, Цраиг Виллиамс, коментарише,

"Када смо ово прво открили, знали смо да је заразио многе компаније. Сада знамо да се ово користило као дранет за циљање ових 20 компанија широм света ... да би се утврдиле у компанијама које вредне ствари могу украсти, укључујући и Цисцо нажалост."

Цисцо

Ухваћен рано

Срећом, Пириформ је успео да примети напад довољно рано да га спречи да постане много гори. Коментар потпредседника компаније Пириформ, Паул Иунг,

"У овој фази, не желимо да нагађамо како се неовлашћени код појавио у ЦЦлеанер софтверу, одакле напад потиче, колико дуго се спремао и ко је стајао иза њега."

Међутим, Цисцо је брзо истакао да за компаније које су циљане (са којима су већ контактирали) једноставно ажурирање ЦЦлеанер-а можда неће бити довољно, јер се секундарни корисни терет може сакрити унутар њихових система. Могло би се комуницирати са засебним ЦнЦ сервером до оног који је до сада откривен. То значи да је могуће да су хакери на те машине испоручили још више експлозија.

Из тог разлога, Цисцо препоручује да се све потенцијално заражене машине врате у време пре него што је контаминирана верзија софтвера Пириформ инсталирана на њих.

Ццленер Тројан

ТР / РедЦап.зиока

Према једном кориснику ЦЦлеанер-а, названом Ски87, они су у уторак отворили ЦЦлеанер да провере коју верзију имају. У том тренутку, 32-битни бинарни уређај је одмах стављен у карантин са поруком која идентификује злонамјерни софтвер као ТР / РедЦап.зиока. ТР / РедЦап.зиока је тројанац који је већ добро познат безбедносним стручњацима. Авира то назива,

„Тројански коњ који може да шпијунира податке, крши вашу приватност или изврши нежељене измене у систему.“

Шта да радим

Ако сте забринути због своје верзије ЦЦлеанер-а, проверите да ли постоји системски кључ за Виндовс. Да бисте то учинили, идите на: ХКЕИ_ЛОЦАЛ_МАЦХИНЕ >СОФТВЕР >Пириформ >Агомо. Ако је присутна мапа Агомо, две вредности ће бити назване МУИД и ТЦИД. То сигнализира да је ваша машина заиста заражена.

Вриједно је напоменути да ажурирање система на ЦЦлеанер верзије 5.34 не уклања Агомо кључ из Виндовс регистра. Он само замењује злонамерне извршне датотеке законитим, тако да злонамјерни софтвер више не представља претњу. Као такав, ако сте већ ажурирали на најновију верзију ЦЦлеанер-а и видели Агомо кључ, то не треба да се брине..

За све који се боје да би њихов систем могао бити заражен верзијом тројанца ТР / РедЦап.зиока, најбољи савет је употреба бесплатног алата за откривање и уклањање злонамјерног софтвера СпиХунтер. Алтернативно, овде је корак по корак водич за уклањање тројана.

Мишљења су писца сопствена.

Кредитна слика наслова: Снимка екрана логотипа ЦЦлеанер.

Кредити за слике: деннизн / Схуттерстоцк.цом, Винтаге Тоне / Схуттерстоцк.цом, Денис Линине / Схуттерстоцк.цом, Иаременко Сергии / Схуттерстоцк.цом

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me