اخبار منتشر شده است که نسخه آلوده رایانه محبوب و نرم افزار بهینه سازی آندروید CCleaner بدافزار را برای تعداد زیادی از کاربران رایانه رواج داده است. این افشاگری برای اولین بار در صبح دوشنبه ، وقتی توسعه دهنده نرم افزار Piriform منتشر شد ، یک وبلاگ با موضوع منتشر کرد. خبر خوب این است که فقط افرادی که CCleaner را روی سیستمهای ویندوز 32 بیتی اجرا می کنند ، تحت تأثیر قرار گرفتند.


از آنجا که داستان برای اولین بار از بین رفت ، شرکت امنیت رایانه Avast اعلام کرده است که تا حدود 2.27 میلیون کاربر CCleaner ممکن است تحت تأثیر بدافزارهایی قرار گرفته باشند که در نسخه های رسمی نرم افزار محبوب بهینه سازی عملکرد رایانه شخصی پنهان شده اند. از آن زمان ، تحقیقات از سیسکو نشان داد که تعداد واقعی عفونت ها در حدود 700000 رایانه شخصی کمتر است.

طبق نوشته وبلاگ Piriform ، نسخه های آلوده CCleaner بین 15 آگوست و 12 سپتامبر منتشر شد. Piriform می گوید که نسخه های نرم افزار آن که به خطر بیفتد CCleaner 5.33.6162 و CCleaner Cloud 1.07.3191 هستند.

Piriform از کلیه کاربران CCleaner خواست تا در اسرع وقت نسخه 5.34 یا بالاتر را بارگیری کنند. شایان ذکر است که کاربران CCleaner Cloud به طور خودکار بروزرسانی را دریافت می کنند. با این حال ، سایر کاربران CCleaner ممکن است هنوز نسخه در معرض خطر را اجرا کنند ، بنابراین به روز رسانی دستی برای آن دسته از مصرف کنندگان بسیار مهم است.

هنوز مشخص نیست که چگونه هکرها موفق به پنهان کردن کد شرورانه در نسخه رسمی CCleaner شدند. از پست وبلاگ Piriform:

ما فهمیدیم که نسخه 5.33.6162 CCleaner و نسخه 1.07.3191 CCleaner Cloud قبل از انتشار به طور غیرقانونی اصلاح شده است و ما یک روند تحقیق را شروع کردیم. ما همچنین بلافاصله با واحدهای انتظامی تماس گرفتیم و برای حل مسئله با آنها همکاری کردیم. "

"غیر حساس" داده سرقت شد

تاکنون Piriform توانسته است مشخص کند که این بدافزار با یک سرور Command and Control (CnC) مستقر در ایالات متحده ارتباط برقرار کرده است. به نظر می رسد هکرها از این بدافزار برای برداشت آنچه از شرکت به عنوان داده های "غیر حساس" استفاده می کند استفاده کرده اند.

این داده ها شامل نام رایانه کاربر ، آدرس IP ، لیست کاملی از نرم افزارهای نصب شده در دستگاه آنها ، لیستی از نرم افزارهای فعال و لیست آداپتورهای شبکه است. Piriform به کاربران اطلاع داده است:

ما هیچ نشانه ای مبنی بر ارسال داده های دیگر به سرور نداریم.

وی گفت: "با همکاری با اجرای قانون ایالات متحده ، ما باعث شدیم این سرور در تاریخ 15 سپتامبر خاموش شود. این امر می تواند مانعی برای تحقیقات آژانس اجرای قانون باشد که قبل از غیرفعال کردن سرور با این کار عمومی روبرو شده و ارزیابی اولیه خود را انجام دهیم ، "

آواز

دخالت Avast

جالب اینجاست که غول امنیتی Avast (که محصولات امنیتی را برای کاربران رایانه در سراسر جهان فراهم می کند) اخیراً Piriform توسعه دهنده CCleaner را به دست آورد. این اکتساب فقط دو ماه پیش ، در ژوئیه 2017 نهایی شد. به همین دلیل ، زمان حمله کمی خراشنده است. این واقعیت که بدافزارها آن را بر روی نسخه رسمی CCleaner قبل از انتشار آن در دسترس عموم قرار داده اند می تواند به معنای این باشد که هکر از داخل کار می کند. فقط زمان می تواند بگوید.

سخنگوی نماینده Avast اظهار نظرهای زیر را انجام داده است:

"ما اعتقاد داریم که این کاربران اکنون بی خطر هستند زیرا تحقیقات ما نشان می دهد که ما قادر به خنثی کردن تهدید بودیم قبل از اینکه بتواند هرگونه ضرری را انجام دهد.

"ما تخمین می زنیم که 2.27 میلیون کاربر نرم افزار تحت تأثیر را روی دستگاههای 32 بیتی ویندوز نصب کرده اند."

برخی از خبرهای خوب

با وجود تخمین اولیه بزرگ عفونت ها ، به نظر می رسد که Piriform بسیار خوش شانس بوده است. در زمان اکتساب Avast ، ادعا شد که CCleaner دارای 130 میلیون کاربر فعال ، از جمله 15M در Android است. با توجه به اینکه این عفونت فقط به نسخه های CCleaner در رایانه های شخصی ویندوز 32 بیتی محدود شده است ، به نظر می رسد تعداد نسبتاً کمی از کاربران CCleaner تحت تأثیر قرار گرفتند (طبق گفته سیسکو فقط 700000 دستگاه).

اهداف شرکت

اهداف شرکت

علیرغم اینکه تعداد کمی از کاربران CCleaner را هدف قرار داده است ، اکنون شواهدی وجود دارد که نشان می دهد هکرها بطور خاص سعی در هدف قرار دادن اهداف شرکت ها داشتند. این افشاگری توسط کارشناسان امنیتی کشف شده است که سرور CnC مورد استفاده هکر را مورد تجزیه و تحلیل قرار داده اند.

محققان بخش امنیتی Talos در سیسکو ادعا می کنند شواهدی پیدا کرده اند که نشان می دهد 20 شرکت بزرگ به طور خاص برای عفونت هدف گرفته شده اند. از جمله این شرکت ها می توان به اینتل ، گوگل ، سامسونگ ، سونی ، VMware ، HTC ، Linksys ، مایکروسافت ، آکامای ، D-Link و خود سیسکو اشاره کرد. به گفته سیسکو ، در حدود نیمی از این موارد ، هکرها موفق به حداقل یک دستگاه شدند. این کار به عنوان یک پشتیبان برای سرور CnC آنها برای تحویل بار پیشرفته تر طراحی شده است. سیسکو معتقد است که از این بهره برداری برای جاسوسی شرکتی استفاده شده است.

جالب است که طبق Cisco و کسپرسکی ، کد بدافزار موجود در CCleaner برخی کدها را با سوءاستفاده های مورد استفاده هکرهای دولت چین با نام گروه 72 یا Axiom به اشتراک می گذارد. گفتن خیلی زود است ، اما این ممکن است به معنای آن باشد که حمله سایبری عملیاتی است که توسط دولت انجام شده است.

مدیر تحقیقات در Talos ، کریگ ویلیامز ، نظرات,

"وقتی این مسئله را در ابتدا پیدا کردیم ، می دانستیم که بسیاری از شرکت ها را آلوده کرده است. اکنون می دانیم که از این به عنوان یک دراگ برای هدف قرار دادن این 20 شرکت در سراسر جهان استفاده می شود ... تا در شرکتهایی که چیزهای ارزشمندی برای سرقت از آن استفاده می کنند ، جای بگیرند ، از جمله متاسفانه سیسکو."

سیسکو

زود گرفتار

خوشبختانه Piriform توانست در حمله زودهنگام حمله کند تا بدتر شود. معاون رئيس جمهور Piriform ، پل یونگ ، اظهار نظر می کند,

"در این مرحله ، ما نمی خواهیم حدس بزنیم که چگونه کد غیرمجاز در نرم افزار CCleaner ، از کجا نشانه حمله ظاهر شد ، چقدر مدت زمان آماده سازی بود و چه کسی در پشت آن ایستاده است."

با این حال ، سیسکو سریع اظهار داشت كه برای بنگاه هایی كه مورد هدف قرار گرفته اند (با آنها قبلاً با آنها ارتباط برقرار كرده اند) ، به روزرسانی CCleaner به سادگی ممکن است كافی نباشد ، زیرا ممکن است بار ثانویه در سیستم های آنها پنهان شود. این می تواند با یک سرور جداگانه CnC در ارتباط با شخصی باشد که تاکنون کشف نشده است. این بدان معناست که حتی ممکن است هکرها سوء استفاده های بیشتری بر روی آن دستگاه ها انجام شده باشد.

به همین دلیل ، سیسکو توصیه می کند که قبل از نصب نسخه آلوده نرم افزار Piriform بر روی آنها ، تمام دستگاه های آلوده بالقوه به زمان دیگری بازگردند.

Cclener Trojan

TR / RedCap.zioqa

به گفته یکی از کاربران CCleaner به نام Sky87 ، آنها سه شنبه CCleaner را باز کردند تا بررسی کنند که چه نسخه ای دارند. در آن مرحله ، باینری 32 بیتی فوراً با یک پیام شناسایی بدافزار به عنوان TR / RedCap.zioqa در قرنطینه شد. TR / RedCap.zioqa یک تروجان است که در حال حاضر به خوبی برای کارشناسان امنیتی شناخته شده است. Avira به آن اشاره دارد,

"یک اسب تروجان که قادر است اطلاعات را جاسوسی کند ، حریم خصوصی شما را نقض کند یا تغییرات ناخواسته ای را برای سیستم انجام دهد."

چه کاری انجام دهیم

اگر نگران نسخه CCleaner خود هستید ، سیستم خود را برای یک کلید رجیستری ویندوز بررسی کنید. برای این کار به: HKEY_LOCAL_MACHINE بروید >نرم افزار >چند شکل >آگومو اگر پوشه Agomo وجود داشته باشد ، دو مقدار با نام MUID و TCID وجود خواهد داشت. این نشان می دهد که دستگاه شما واقعاً آلوده است.

شایان ذکر است که به روزرسانی سیستم شما در CCleaner نسخه 5.34 ، کلید Agomo را از رجیستری ویندوز حذف نمی کند. این دستگاه فقط اجرایی مخرب را با موارد قانونی جایگزین می کند ، به طوری که دیگر نرم افزارهای مخرب تهدیدی به همراه ندارد. به این ترتیب ، اگر قبلاً آخرین نسخه CCleaner را به روز کرده اید و Agomo Key را مشاهده کرده اید ، این چیزی نیست که نگران آن باشید.

برای هرکسی که از سیستم خود می ترسد می تواند به نسخه Trojan Red / RedCap.zioqa آلوده شود ، بهترین توصیه برای استفاده از ابزار شناسایی و حذف بدافزار رایگان SpyHunter است. روش دیگر ، یک راهنمای مرحله به مرحله برای از بین بردن تروجان در اینجا وجود دارد.

عقاید خود نویسنده است.

اعتبار تصویر عنوان: تصویر آرم CCleaner.

اعتبارات تصویر: dennizn / Shutterstock.com ، تن Vintage / Shutterstock.com ، دنیس Linine / Shutterstock.com ، Iaremenko Sergii / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me