- 20 September 2017
- |Securitate digitala
- | 0
- 3,227
Un nou avertisment din partea specialistilor in securitate IT: in cazul in care ai descarcat sau ai actualizat aplicatia CCleaner in perioada 15 August – 12 Septembrie de pe site-ul oficial, computerul tau a fost infectat cu malware.
Malware descoperit in 2 versiuni de CCleaner abia dupa 1 luna
Cu circa 5 milioane de descarcari lunare, CCleaner – un tool foarte popular in intreaga lume – a distribuit versiuni infectate ale produselor sale pentru aproape o luna de zile pana sa realizeze ca acestea contin malware.
Astfel, conform cercetarilor publicate de Talos Intelligence, se pare ca serverele folosite de Avast pentru descarcarile aplicatiei au fost compromise. Astfel versiunile originale ale tool-ului de curatare a fisierelor temporare au fost inlocuite cu versiuni malitioase distribuite la milioane de utilizatori.
Avast, compania de securitate online care a achizitionat recent aplicatia CCleaner, descrie malware-ul ca fiind un two-stage backdoor capabil sa ruleze cod primit de la o adresa IP remote pe sistemele afectate.
Ce informatii au colectat hackerii de la utilizatorii infectati?
Versiunile malitioase – CCleaner v5.33.6162 si CCleaner Cloud v1.07.3191 (32-bit) – contin o structura malware de tip multi-stage payload care fura date de la computerele infectate si le trimite la serverele de comanda ale atacatorului.
Mai mult, se pare ca atacatorii au folosit o semnatura digitala valida emisa pentru Piriform (creatorii aplicatiei CCleaner) de catre Symantec si au folosit Domain Generation Algorithm (DGA). Folosing DGA, chiar daca serverele atacatorilor cad, acesta ar genera domenii noi pentru a primi si a trimite informatii furate de la utilizatori.
Software-ul malitios a fost programat sa colecteze o serie de informatii despre utilizatori, precum:
- Numele computerului
- Lista softurilor instalate, inclusiv update-uri de Windows
- Lista cu toate aplicatiile ce ruleaza
- Adrese IP si MAC
- Alte informatii despre ultilizator: daca un anumit proces ruleaza cu autorizatie de admin sau daca e un sistem de 64-bit
Cercetatorii de la Talos estimeaza ca mai mult de 20 de milioane de utilizatori ar fi fost infectati, avand in vedere ca, in medie, 5 milioane de persoane descarca aplicatia CCleaner saptamanal.
In schimb, cei de la Piriform au publicat faptul ca doar 3% dintre utilizatorii lor au fost infectati cu malware, adica 2,3 milioane utilizatori. In acelasi timp, utilizatorii Apple nu au fost afectati.
Acest incident este inca un exemplu de atac cibernetic ce vizeaza un furnizor de aplicatii. In vara acestui an, o multime de companii si organizatii mari la nivel mondial au fost paralizate dupa ce o grupare de hackeri au compromis serverele companiei ucrainiene MeDoc. Companiile ce descarcau aceasta aplicatie au fost infectate cu wiper-ul Petya.
ExtremeTech sunt de parere ca zilele in care aplicatiile de genul CCleaner sunt demult apuse si recomanda utilizatorilor de Windows ca nu este nevoie de stergerea fisierelor temporare pentru ca sistemul de operare sa ruleze mai rapid.
Tu mai folosesti CCleaner in 2017?
Afla mai multe despre wiper-ul Petya pe blog-ul BLADE:
Wiper-ul Petya paralizeaza Ucraina, se raspandeste global cu viteza