มีข่าวออกมาว่าพีซีที่เป็นที่นิยมของพีซีและ Android ซอฟต์แวร์เพิ่มประสิทธิภาพ CCleaner ได้แพร่กระจายมัลแวร์ไปยังผู้ใช้คอมพิวเตอร์จำนวนมาก. การเปิดเผยเป็นครั้งแรกในเว็บเมื่อเช้าวันจันทร์เมื่อ Piriform ผู้พัฒนาซอฟต์แวร์เผยแพร่โพสต์บล็อกในเรื่องนี้ ข่าวดีก็คือมีเพียงผู้ที่ใช้ CCleaner บนระบบ Windows 32 บิตเท่านั้นที่ได้รับผลกระทบ.


Avast ได้ประกาศว่าผู้ใช้ CCleaner สูงถึง 2.27 ล้านคนอาจได้รับผลกระทบจากมัลแวร์ที่ซ่อนอยู่ภายในซอฟต์แวร์ทางการปรับแต่งประสิทธิภาพพีซียอดนิยมอย่างเป็นทางการ ตั้งแต่นั้นมาการวิจัยจากซิสโก้ได้เปิดเผยว่าจำนวนที่แท้จริงของการติดเชื้อลดลงประมาณ 700,000 เครื่อง.

จากการโพสต์บล็อกของ Piriform สำเนาของ CCleaner ที่ติดไวรัสนั้นถูกเผยแพร่ระหว่างวันที่ 15 สิงหาคมถึง 12 กันยายน Piriform บอกว่าเวอร์ชั่นของซอฟต์แวร์ที่ถูกบุกรุกคือ CCleaner 5.33.6162 และ CCleaner Cloud 1.07.3191.

Piriform ขอแนะนำให้ผู้ใช้ CCleaner ดาวน์โหลดเวอร์ชั่น 5.34 ขึ้นไปโดยเร็วที่สุด เป็นที่น่าสังเกตว่าผู้ใช้ CCleaner Cloud จะได้รับการอัปเดตโดยอัตโนมัติ อย่างไรก็ตามผู้ใช้ CCleaner รายอื่นอาจยังใช้เวอร์ชั่นที่ถูกบุกรุกอยู่ดังนั้นการอัพเดทด้วยตนเองจึงมีความสำคัญอย่างยิ่งสำหรับผู้บริโภคเหล่านั้น.

ยังไม่เป็นที่ทราบว่าแฮ็กเกอร์จัดการเพื่อซ่อนรหัสอันตรายใน CCleaner เวอร์ชันทางการได้อย่างไร จากโพสต์บล็อกของ Piriform:

“ เราพบว่า CCleaner รุ่น 5.33.6162 และ CCleaner Cloud รุ่น 1.07.3191 นั้นถูกแก้ไขอย่างผิดกฎหมายก่อนที่จะเผยแพร่สู่สาธารณะและเราเริ่มกระบวนการสอบสวน นอกจากนี้เรายังติดต่อหน่วยงานบังคับใช้กฎหมายทันทีและทำงานร่วมกับพวกเขาในการแก้ไขปัญหา”

"ไม่ไวต่อความรู้สึก" ข้อมูลถูกขโมย

Piriform สามารถยืนยันได้ว่ามัลแวร์กำลังสื่อสารกับเซิร์ฟเวอร์ Command and Control (CnC) ที่ตั้งอยู่ในสหรัฐอเมริกา แฮ็กเกอร์ดูเหมือนจะใช้มัลแวร์เพื่อรวบรวมข้อมูลที่ บริษัท อธิบายว่าเป็นข้อมูลที่ "ไม่อ่อนไหว".

ข้อมูลดังกล่าวรวมถึงชื่อคอมพิวเตอร์ที่อยู่ IP ของผู้ใช้รายชื่อซอฟต์แวร์ที่ติดตั้งไว้ในเครื่องรายการซอฟต์แวร์ที่ใช้งานและรายการอะแดปเตอร์เครือข่าย Piriform ได้แจ้งผู้ใช้ว่า:

“ เราไม่มีข้อบ่งชี้ว่ามีการส่งข้อมูลอื่น ๆ ไปยังเซิร์ฟเวอร์.

“ การทำงานกับหน่วยงานบังคับใช้กฎหมายของสหรัฐอเมริกาเราทำให้เซิร์ฟเวอร์นี้ปิดตัวลงในวันที่ 15 กันยายนก่อนเกิดความเสียหายใด ๆ มันจะเป็นอุปสรรคต่อการสืบสวนของหน่วยงานบังคับใช้กฎหมายที่จะเผยแพร่ต่อสาธารณะก่อนที่เซิร์ฟเวอร์จะถูกปิดการใช้งานและเราได้ทำการประเมินเบื้องต้นของเราแล้ว”

Avast

การมีส่วนร่วมของ Avast

ที่น่าสนใจคือ Avast ยักษ์ใหญ่ด้านความปลอดภัย (ซึ่งจัดหาผลิตภัณฑ์ด้านความปลอดภัยสำหรับผู้ใช้คอมพิวเตอร์ทั่วโลก) เพิ่งซื้อ Piriform นักพัฒนาของ CCleaner เมื่อไม่นานมานี้ การซื้อกิจการดังกล่าวได้รับการสรุปเพียงสองเดือนที่ผ่านมาในเดือนกรกฎาคม 2017 ด้วยเหตุนี้เวลาของการโจมตีจึงเป็นเรื่องเล็กน้อย ความจริงที่ว่ามัลแวร์ทำให้มันเป็นรุ่นอย่างเป็นทางการของ CCleaner ก่อนที่จะเผยแพร่สู่สาธารณะอาจหมายถึงแฮ็กเกอร์ทำงานได้จากภายใน เวลาเท่านั้นที่จะบอก.

โฆษกในนามของ Avast ได้แสดงความคิดเห็นดังต่อไปนี้:

“ เราเชื่อว่าผู้ใช้เหล่านี้ปลอดภัยในขณะนี้เนื่องจากการตรวจสอบของเราระบุว่าเราสามารถปลดอาวุธภัยคุกคามก่อนที่จะสามารถทำอันตรายใด ๆ.

“ เราประเมินว่าผู้ใช้ 2.27 ล้านคนติดตั้งซอฟต์แวร์ที่ได้รับผลกระทบบนเครื่อง Windows 32 บิต”

ข่าวดี

แม้จะมีการประเมินเบื้องต้นของการติดเชื้อจำนวนมาก แต่ก็ดูเหมือนว่า Piriform จะโชคดีมาก ในช่วงเวลาของการซื้อกิจการของ Avast มีการอ้างว่า CCleaner มีผู้ใช้งาน 130 ล้านคนรวมถึง 15M บน Android เนื่องจากข้อเท็จจริงที่ว่าการติดเชื้อถูก จำกัด เฉพาะ CCleaner รุ่นที่ทำงานบนพีซี Windows 32 บิตดูเหมือนว่าผู้ใช้ CCleaner จำนวนค่อนข้างน้อยได้รับผลกระทบ (เพียง 700,000 เครื่องตาม Cisco).

เป้าหมายขององค์กร

เป้าหมายขององค์กร

แม้จะมีการตั้งเป้าหมายผู้ใช้ CCleaner เพียงเล็กน้อย แต่ก็มีหลักฐานว่าแฮ็กเกอร์พยายามติดเชื้อที่เป้าหมายขององค์กรโดยเฉพาะ การเปิดเผยนี้ถูกค้นพบโดยผู้เชี่ยวชาญด้านความปลอดภัยที่วิเคราะห์เซิร์ฟเวอร์ CnC ที่แฮ็กเกอร์ใช้.

นักวิจัยที่แผนกความปลอดภัย Talos ของซิสโก้อ้างว่าพวกเขาได้พบหลักฐานว่ามี 20 บริษัท ขนาดใหญ่ที่มีเป้าหมายในการติดเชื้อโดยเฉพาะ ในบรรดา บริษัท เหล่านั้น ได้แก่ Intel, Google, Samsung, Sony, VMware, HTC, Linksys, Microsoft, Akamai, D-Link และ Cisco จากข้อมูลของซิสโก้ในกรณีประมาณครึ่งหนึ่งแฮกเกอร์สามารถติดเชื้อได้อย่างน้อยหนึ่งเครื่อง สิ่งนี้ทำหน้าที่เป็นแบ็คดอร์สำหรับเซิร์ฟเวอร์ CnC ของพวกเขาเพื่อส่งมอบสิ่งที่มีความซับซ้อนมากขึ้น Cisco เชื่อว่าการหาประโยชน์นั้นมีจุดประสงค์เพื่อใช้ในการจารกรรมองค์กร.

น่าสนใจทั้ง Cisco และ Kaspersky รหัสมัลแวร์ที่อยู่ใน CCleaner แบ่งปันรหัสบางอย่างกับการโจมตีที่แฮกเกอร์รัฐบาลจีนเรียกว่า Group 72 หรือ Axiom มันเร็วเกินไปที่จะบอก แต่นี่อาจหมายถึงว่าการโจมตีทางไซเบอร์เป็นการดำเนินงานที่ได้รับการสนับสนุนจากรัฐ.

ผู้จัดการฝ่ายวิจัยที่ Talos, Craig Williams แสดงความคิดเห็น,

"เมื่อเราพบสิ่งนี้ในตอนแรกเรารู้ว่ามันติดเชื้อ บริษัท จำนวนมาก ตอนนี้เรารู้แล้วว่าสิ่งนี้กำลังถูกนำมาใช้เป็นเครื่องไล่ยุงเพื่อกำหนดเป้าหมาย 20 บริษัท ทั่วโลก ... เพื่อตั้งหลักใน บริษัท ที่มีสิ่งที่มีค่าที่จะขโมยรวมถึง Cisco ที่น่าเสียดาย."

ซิสโก้

ติด แต่เนิ่นๆ

โชคดีที่ Piriform สามารถตรวจจับการโจมตีได้เร็วพอที่จะหยุดยั้งไม่ให้แย่ลงได้ พอลยูงรองประธานของ Piriform แสดงความคิดเห็น,

“ ในขั้นตอนนี้เราไม่ต้องการคาดเดาว่ารหัสที่ไม่ได้รับอนุญาตปรากฏในซอฟต์แวร์ CCleaner ซึ่งเกิดจากการโจมตีระยะเวลาเตรียมการและผู้ที่ยืนอยู่ข้างหลัง”

อย่างไรก็ตามซิสโก้ก็ชี้ให้เห็นอย่างรวดเร็วว่าสำหรับ บริษัท ที่มีการกำหนดเป้าหมาย (ซึ่งพวกเขาได้ติดต่อไปแล้ว) เพียงแค่อัปเดต CCleaner อาจไม่เพียงพอเพราะอาจมีการซ่อนเร็กคอร์ดรองภายในระบบของพวกเขา อาจกำลังสื่อสารกับเซิร์ฟเวอร์ CnC แยกจากกันไปยังเซิร์ฟเวอร์ที่ยังไม่ได้เปิด นั่นหมายความว่าเป็นไปได้ที่แฮ็กเกอร์สามารถส่งช่องโหว่ได้มากกว่าเดิม.

ด้วยเหตุนี้ซิสโก้จึงขอแนะนำให้เรียกคืนเครื่องที่ติดเชื้อทั้งหมดไปยังเวลาก่อนที่จะติดตั้งซอฟต์แวร์ของ Piriform เวอร์ชันที่ปนเปื้อน.

Cclener Trojan

TR / RedCap.zioqa

ตามผู้ใช้ CCleaner หนึ่งคนชื่อ Sky87 พวกเขาเปิด CCleaner ในวันอังคารเพื่อตรวจสอบว่ามีเวอร์ชันใด ณ จุดนั้นไบนารีแบบ 32 บิตถูกกักกันทันทีโดยมีข้อความระบุมัลแวร์ว่าเป็น TR / RedCap.zioqa TR / RedCap.zioqa เป็นโทรจันที่ผู้เชี่ยวชาญด้านความปลอดภัยรู้จักกันดีอยู่แล้ว Avira หมายถึงมันเป็น,

“ ม้าโทรจันที่สามารถสอดแนมข้อมูลละเมิดความเป็นส่วนตัวของคุณหรือทำการดัดแปลงระบบโดยไม่พึงประสงค์”

สิ่งที่ต้องทำ

หากคุณกังวลเกี่ยวกับ CCleaner รุ่นของคุณให้ตรวจสอบระบบของคุณสำหรับคีย์รีจิสทรีของ Windows โดยไปที่: HKEY_LOCAL_MACHINE >ซอฟต์แวร์ >Piriform >Agomo หากโฟลเดอร์ Agomo ปรากฏขึ้นจะมีสองค่าชื่อ MUID และ TCID นี่เป็นสัญญาณว่าเครื่องของคุณติดไวรัสอย่างแน่นอน.

เป็นที่น่าสังเกตว่าการอัปเดตระบบของคุณเป็น CCleaner เวอร์ชั่น 5.34 จะไม่ลบคีย์ Agomo ออกจากการลงทะเบียน Windows มันจะแทนที่โปรแกรมที่เป็นอันตรายด้วยสิ่งที่ถูกกฎหมายเท่านั้นเพื่อที่ว่ามัลแวร์จะไม่คุกคามอีกต่อไป หากคุณได้อัปเดตเป็น CCleaner เวอร์ชันล่าสุดแล้วและดูคีย์ Agomo นี่ไม่ใช่สิ่งที่คุณควรคำนึงถึง.

สำหรับผู้ที่กลัวว่าระบบของพวกเขาจะติดเชื้อโทรจัน TR / RedCap.zioqa รุ่นหนึ่งคำแนะนำที่ดีที่สุดคือการใช้เครื่องมือกำจัดและกำจัดมัลแวร์ SpyHunter ฟรี อีกวิธีหนึ่งคือมีคำแนะนำทีละขั้นตอนสำหรับการลบโทรจันที่นี่.

ความคิดเห็นเป็นของผู้เขียนเอง.

เครดิตชื่อภาพ: สกรีนช็อตของโลโก้ CCleaner.

เครดิตรูปภาพ: dennizn / Shutterstock.com, Vintage Tone / Shutterstock.com, Denis Linine / Shutterstock.com, Iaremenko Sergii / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me