Pojavile su se vijesti da zaražena verzija popularnog softvera za optimizaciju računala i Androida CCleaner širi zlonamjerni softver velikom broju korisnika računala. Otkriće se prvi put pojavilo na internetu u ponedjeljak ujutro, kada je programer softvera Piriform objavio tu temu na blogu. Dobra vijest je da su pogođeni samo ljudi koji pokreću CCleaner na 32-bitnim Windows sustavima.


Budući da se priča prvi put prekinula, tvrtka za računalnu sigurnost Avast objavila je da je do 2,27 milijuna korisnika CCleaner-a moglo utjecati na zlonamjerni softver skriven u službenim verzijama popularnog softvera za optimizaciju performansi računala. Od tada, istraživanje tvrtke Cisco otkrilo je da je pravi broj infekcija manji, na oko 700 000 računala.

Prema pisanju bloga Piriform, zaražene kopije CCleaner-a distribuirane su između 15. kolovoza i 12. rujna. Piriform kaže da su verzije njegovog softvera koji su bili ugroženi CCleaner 5.33.6162 i CCleaner Cloud 1.07.3191.

Piriform poziva sve korisnike CCleaner-a da preuzmu verziju 5.34 ili starije što je prije moguće. Vrijedi napomenuti da će korisnici CCleaner Clouda ažuriranje dobiti automatski. Međutim, drugi korisnici CCleaner-a možda još uvijek pokreću kompromitiranu verziju, tako da je ručno ažuriranje izuzetno važno za te potrošače.

Još nije poznato kako su hakeri uspjeli sakriti zlonamjerni kod unutar službene verzije CCleanera. Iz bloga Piriforma iz bloga:

„Otkrili smo da su inačice CCleaner 5.33.6162 i verzija CCleaner Cloud 1.07.3191 ilegalno modificirane prije nego što su puštene u javnost, te smo pokrenuli istražni postupak. Također smo odmah kontaktirali jedinice za provođenje zakona i radili s njima na rješavanju problema. "

"Neosjetljivo" Podaci ukradeni

Do sada je Piriform uspio utvrditi da je zlonamjerni softver komunicirao s poslužiteljem Command and Control (CnC) smještenim u SAD-u. Čini se da su hakeri koristili zlonamjerni softver za skupljanje onoga što tvrtka opisuje kao "neosjetljive" podatke.

Ti podaci uključuju korisničko ime računala, IP adresu, sveobuhvatan popis instaliranog softvera na njegovom računalu, popis aktivnog softvera i popis mrežnih adaptera. Piriform je obavijestio korisnike da:

"Nemamo naznake da su bilo koji drugi podaci poslani na poslužitelj.

„Radeći sa američkom policijom, 15. rujna smo isključili ovaj poslužitelj prije nego što je učinjena poznata šteta. Bilo bi prepreka istrazi agencije za provođenje zakona da se ovo javno objavi prije nego što je poslužitelj onemogućen i dovršimo početnu procjenu. "

Avast

Avastova uključenost

Zanimljivo je da je sigurnosni div Avast (koji osigurava sigurnosne proizvode za računalne korisnike širom svijeta) tek nedavno kupio CCleaner-ov programer Piriform. Ta je akvizicija finalizirana prije samo dva mjeseca, u srpnju 2017. Iz tog razloga, vrijeme napada je u najmanju ruku pomalo grebanje glave. Činjenica da ga je zlonamjerni softver učinio službenom verzijom CCleanera prije nego što je pušten u javnost mogla bi značiti da je haker radio iznutra. Samo će vrijeme pokazati.

Glasnogovornik u ime Avasta dao je sljedeće komentare:

"Vjerujemo da su ovi korisnici sada sigurni, jer naša istraga ukazuje da smo mogli razoružati prijetnju prije nego što smo mogli učiniti bilo kakvu štetu..

"Procjenjujemo da je 2,27 milijuna korisnika pogođeni softver instaliran na 32-bitnim Windows računalima."

Dobre vijesti

Unatoč velikoj početnoj procjeni infekcija, čini se da je Piriform imao sreće. U vrijeme stjecanja Avasta tvrdilo se da CCleaner ima nevjerojatnih 130 milijuna aktivnih korisnika, uključujući 15 milijuna na Androidu. Zbog činjenice da je zaraza bila ograničena samo na verzije CCleaner-a koji rade na 32-bitnim Windows računalima, čini se da je pogođen relativno mali broj korisnika CCleaner-a (samo 700.000 strojeva, prema Ciscu).

Korporativni ciljevi

Korporativni ciljevi

Iako su ciljali samo na mali broj korisnika CCleaner-a, sada su se pojavili dokazi da su hakeri pokušali zaraziti korporativne ciljeve. Ovo otkriće otkrili su sigurnosni stručnjaci koji su analizirali CnC poslužitelj koji koristi haker.

Istraživači iz sigurnosne jedinice Cisco Talos tvrde da su pronašli dokaze da je 20 velikih korporacija bilo posebno ciljano zbog infekcije. Među tim tvrtkama su Intel, Google, Samsung, Sony, VMware, HTC, Linksys, Microsoft, Akamai, D-Link i sam Cisco. Prema Ciscu, u oko polovice tih slučajeva, hakeri su uspjeli zaraziti barem jedan stroj. Ovo je djelovalo kao backdoor za njihov CnC poslužitelj za isporuku sofisticiranijeg korisnog opterećenja. Cisco vjeruje da je iskorištavanje namijenjeno korporacijskoj špijunaži.

Zanimljivo je da, kako Cisco tako i Kaspersky, zlonamerni softver sadržan u CCleaner-u dijeli neki kôd s eksploatacijama koje koriste kineski vladini hakeri poznati pod nazivom Group 72 ili Axiom. Prerano je za reći, ali to može značiti da je cyber-napad bio operacija koju je sponzorirala država.

Komentira voditelj istraživanja u Talosu, Craig Williams,

"Kad smo to otkrili u početku, znali smo da je zarazio mnoge tvrtke. Sada znamo da se ovo koristilo kao dragnet za ciljanje ovih 20 tvrtki širom svijeta ... da bi se uporište u tvrtkama koje vrijedne stvari mogu ukrasti, uključujući i Cisco nažalost."

Cisco

Uhvaćen rano

Srećom, Piriform je uspio uočiti napad dovoljno rano da ga zaustavi još više. Komentira potpredsjednik Piriforma, Paul Yung,

"U ovoj fazi ne želimo nagađati kako se neovlašteni kôd pojavio u CCleaner softveru, odakle napad potječe, koliko se dugo pripremao i ko je stajao iza njega."

Međutim, Cisco je brzo istaknuo da za tvrtke koje su ciljane (s kojima su već kontaktirali) jednostavno ažuriranje CCleaner-a možda neće biti dovoljno, jer se sekundarni korisni teret može sakriti unutar njihovih sustava. Mogla bi se komunicirati s zasebnim CnC poslužiteljem s onim do sada otkrivenim. To znači da je moguće da su hakeri na te strojeve dostavili još više eksplozija.

Iz tog razloga, Cisco preporučuje da se svi potencijalno zaraženi strojevi vrate na vrijeme prije nego što je kontaminirana inačica softvera Piriform instalirana na njih..

Cclener Trojan

TR / RedCap.zioqa

Prema jednom korisniku CCleaner-a, nazvanom Sky87, u utorak su otvorili CCleaner kako bi provjerili koju verziju imaju. U tom je trenutku 32-bitna binarna datoteka odmah smještena u karantenu s porukom da je malware bio identificiran kao TR / RedCap.zioqa. TR / RedCap.zioqa je trojanac koji je već dobro poznat sigurnosnim stručnjacima. Avira to naziva kao,

"Trojanski konj koji može špijunirati podatke, prekršiti vašu privatnost ili izvršiti neželjene izmjene u sustavu."

Što učiniti

Ako ste zabrinuti zbog svoje verzije CCleaner-a, provjerite u vašem sustavu Windows ključ registra. Da biste to učinili, idite na: HKEY_LOCAL_MACHINE >SOFTVER >Piriform >Agomo. Ako je prisutna mapa Agomo, postojat će dvije vrijednosti, nazvane MUID i TCID. To signalizira da je vaš uređaj doista zaražen.

Vrijedi napomenuti da ažuriranje vašeg sustava na CCleaner verzije 5.34 ne uklanja Agomo ključ iz registra Windows. Samo zamjenjuje zloćudne izvršne datoteke s zakonitim, tako da zlonamjerni softver više ne predstavlja prijetnju. Kao takav, ako ste već ažurirali na najnoviju verziju CCleaner-a i vidjeli Agomo ključ, to ne treba brinuti.

Za sve koji se boje da bi njihov sustav mogao biti zaražen verzijom trojanca TR / RedCap.zioqa, najbolji savjet je korištenje besplatnog alata za otkrivanje i uklanjanje zlonamjernog softvera SpyHunter. Alternativno, ovdje je korak po korak vodič za uklanjanje trojana.

Mišljenja su pisca vlastita.

Kreditna slika naslova: Snimka ekrana CCleaner logotipa.

Krediti za slike: dennizn / Shutterstock.com, Vintage Tone / Shutterstock.com, Denis Linine / Shutterstock.com, Iaremenko Sergii / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me