Какая версия ccleaner заражена: Версия CCleaner была заражена вредоносом Floxif в течение месяца

Содержание

Версия CCleaner была заражена вредоносом Floxif в течение месяца

Версия 5.33 приложения CCleaner, предлагаемая для загрузки с 15 августа по 12 сентября, была заражена вредоносной программой Floxif. Об этом говорится в свежем отчете, опубликованном Cisco Talos.

Floxif представляет собой вредоносный загрузчик, который собирает информацию о зараженных системах и отправляет ее в командный центр. У этого вредоноса также имеется возможность загружать и запускать другие файлы.

Floxif собирает следующую информацию: имя компьютера, список установленных программ, список запущенных процессов, MAC-адреса для первых трех сетевых интерфейсов и уникальные идентификаторы. Исследователи отметили, что зловред работает только на 32-битных системах. Кроме того, вредоносная программа завершает выполнение, если пользователь не работает под учетной записью администратора.

Cisco Talos обнаружила этот экземпляр Floxif во время бета-тестирования новой технологии обнаружения эксплойтов. Эксперты считают, что злоумышленники могли использовать свой цифровой сертификат для замены легитимного приложения CCleaner на содержащее вредоносную программу.

Остается неясным, взломали ли киберпреступники системы Avast или же вредоносный код был добавлен «инсайдером, имеющим доступ к средам разработки».

Напомним, что Avast купил Piriform, компанию-разработчика CCleaner, в июле этого года, за месяц до выхода CCleaner 5.33.

13 сентября Piriform выпустила версию CCleaner 5.34 и CCleaner Cloud 1.07.3191, которые не содержат вредоносный код.

Floxif использовал случайно сгенерированные имена доменов командного центра каждый месяц. Запросы DNS вредоноса, сделанные в августе и сентябре, показывают, что были заражены сотни, если не тысячи пользователей.

После того, как Cisco Talos сообщила Avast о скомпрометированной версии CCleaner, и компания поспособствовала уничтожению командного центра, исследователи увидели, что зараженные машины посылают DNS-запросы на резервный домен.

«Обновление CCleaner до версии 5.34 не устраняет проблему, так как вредоносная программа все равно остается в системе» — говорится в отчете Cisco Talos.

Также в этом отчете содержатся технические подробности о работе Floxif.

Утилиту CCleaner взломали, в ее составе месяц распространялась малварь — «Хакер»

Специалисты Cisco Talos предупредили о неприятном инциденте, затрагивающем популярное приложение CCleaner, использующееся для оптимизации и «чистки» ОС семейства Windows. По данным исследователей, неизвестные злоумышленники скомпрометировали приложение еще 15 августа 2017 года, и вплоть до 12 сентября 2017 года вместе с CCleaner распространялась малварь Floxif.    

Специалисты рассказывают, что изучая официальную версию CCleaner 5.33, они заметили, что приложение связывается с подозрительным доменом. Как оказалось, ответственен за это был вредонос Floxif, работающий лишь на 32-битных системах из-под учетной записи администратора. Малварь собирает все данные о зараженной машине (информацию о системе, запущенных процессах, MAC-адресах сетевых устройств и уникальные ID комплектующих), а затем передает их на удаленный сервер злоумышленников. При этом вредонос способен скачивать и запускать дополнительные бинарники, хотя по данным исследователей, ни один зараженный хост так и не подвергся второй фазе атаки, то есть Floxif не загружал дополнительные пейлоады на зараженные устройства.

Схема работы малвари

Эксперты Cisco Talos полагают, что злоумышленники каким-то образом скомпрометировали цепочку поставок Avast, и использовали цифровой сертификат, чтобы подписать вредоносную версию CCleaner 5.33, подменив ею легитимный вариант. Исследователи не исключают, что в данном случае преступникам помогал инсайдер.

С сертификатом CCleaner 5.33, казалось бы, все хорошо

Разработчики CCleaner, компания Piriform, которую недавно приобрела Avast, уже подтвердили случившееся в официальном блоге. Они пишут, что заражению подверглись 32-битные варианты CCleaner 5.33.6162 и CCleaner Cloud 1.07.3191.

13 сентября 2017 года была выпущена версия CCleaner 5.34, а также обновление 1.07.3214 для CCleaner Cloud, которые не содержат вредоносного кода. Всем пользователям настоятельно рекомендуется обновиться как можно скорее, так как функции автообновления в CCleaner не предусмотрено.

Представители Avast сообщили, что зараженные Floxif версии CCleaner успели распространиться на 2,27 млн компьютеров (это лишь около 3% пользователей утилиты). Однако в компании полагают, что благодаря вышедшим апдейтам, которые «обезвредили» малварь, пользователи уже в безопасности.

Провериться на заражение можно достаточно просто: нужно найти в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo и проверить, содержатся ли там элементы MUID и TCID. Если да – это признак заражения Floxif.

Вирус в CCleaner — как избавиться от вредоносного ПО

Буквально на днях пользователей ноутбуков и ПК с ОС Windows взбудоражила новость о том, что всеми любимая программа для очистки системы CCleaner Free содержит вредоносное программное обеспечение. По последним данным с проблемой вредоносного трояна столкнулись свыше 2,27 миллиона пользователей компьютеров по всему миру. Давайте разберемся, кто мог быть инфицирован и как решать данную проблему.

Что делает вредоносное программное обеспечение?

Прежде всего вредоносный троян собирает информацию о вас и вашем компьютере. В частности, ваш IP-адрес, имя компьютера, список установленных программ на вашем компьютере, список активного программного обеспечения и список сетевых адаптеров. Всю собранную информацию он отправляет на сторонний сервер. Но почему-то вредонос не похищает данные банковских кредитных карточек, скриншоты банковских операций, что весьма странно для хакерской атаки.

В компании Avast, которая совсем недавно купила компанию Piriform, разработчика программы CCleaner Free знают о проблеме и уже принимают всяческие меры по предотвращению распространения троянской программы. В частности, признали, что обновление программы несло в себе вредоносный код. Но после сотрудничества с правоохранительными органами США 15 сентября 2017 года сервер обновлений ПО был закрыт, а позже было выпущено обновление для программ CCleaner и CCleaner Cloud.

Кто был инфицирован?

Я уже выше писал, что зараженными оказались свыше 2 миллионов ПК. Главный удар пришелся по пользователям, которые использовали 32-битную версию программы CCleaner Free. Если заражение уже произошло, то не стоит паниковать и проклинать разработчиков программы. Компания Piriform уверяет, что сумела заблаговременно предотвратить массовое распространение трояна, а сама программа не успела нанести ощутимый вред.

Как узнать, есть ли у вас вредоносная версия?

Стало известно, что атаке подверглись версии CCleaner v5.33.6162 или CCleaner Cloud v1.07.3191 для 32-разрядных ПК с ОС Windows. Версия Android для телефонов, похоже, не затронута. Это особенно хорошо, учитывая популярность программы среди пользователей смартфонов. Проверьте, какую версию используете именно вы. Откройте для этого саму программу CCleaner и вверху увидите версию программы.

Если вы устанавливали обновление программы после 12 сентября 2017 года, то всё должно быть в порядке. Именно в этот день было выпущено обновление, которое, по словам разработчиков, исправило проблему. Если же вы используете облачную версию CCleaner Cloud, то переживать тем более нечего, так как программа обновляется автоматически.

Что же делать пользователям обычной версии CCleaner?

В первую очередь рекомендую вам по возможности перейти с 32-битной версии на 64-битную. Но, если по какой-то причине вы можете использовать только 32-битную версию, то решение также имеется.

Прежде всего попросту удалите программу через «Панель управления», щелкнув по ней правой кнопкой мыши и выбрав опцию Удалить. После полного удаления решите нужна ли вам данная утилита в принципе. Если нужна, то скачайте с официального сайта чистую версию CCleaner, иначе не исключено, что некоторые нечистоплотные ресурсы уже воспользовались моментом и попытаются обмануть вас, подсунув версии с внедренным вредоносным кодом.

Также рекомендуем проверить ваше устройство на наличие вредоносного программного обеспечения. Это можно сделать при помощи любого установленного в вашем ноутбуке антивируса. Лучше всего воспользоваться автономным Защитником Windows, который загружается отдельно от Windows и не может быть заблокирован вирусом.

Сделать это очень легко. Пройдите по пути: Пуск — Параметры — Обновление и безопасность. Откройте «Центр безопасности Защитника Windows», где перейдите во вкладку «Защита от вирусов и угроз». Вам необходимо перейти в «Расширенную проверку» и там запустить «Проверку автономного защитника Windows». Через минуту ваше устройство перезагрузится, и перейдет в автономный режим сканирования. Если вирус всё же есть на вашей машине, то «Защитник» уведомит вас об этом и предложит удалить его.

После всех проведенных манипуляций можете быть уверены, что ваши данные в целости и сохранности. Удачи!

Что такое вирус CCleaner и как его удалить?

CCleaner – это утилита, предназначенная для очистки компьютера от нежелательных файлов. Программа удаляет временные файлы, которые «съедают» дисковое пространство и недействительные ключи реестра Windows. Во время очистки также удаляются вредоносные файлы, спрятавшиеся в системе. В январе 2017 года веб-сайт CNET, посвящённый компьютерным технологиям, присвоил программе рейтинг «Очень хорошо».

Однако в сентябре 2017 года в CCleaner было обнаружено вредоносное ПО. Хакеры внедрили в легитимную программу вредоносный код, предназначенный для кражи данных пользователей. Они превратили инструмент, предназначенный для очистки вашего компьютера от скрытых вредоносных программ, в серьезную угрозу для конфиденциальной и личной информации.

Понимание угрозы

Вредоносная программа состояла из двух троянских программ Trojan.Floxif и Trojan.Nyetya, внедренных в бесплатные версии CCleaner 5.33.6162 и CCleaner Cloud 1.07.3191. Считается, что хакеры взломали среду сборки CCleaner для внедрения в нее вредоносного кода.

Согласно сообщениям из различных источников, вредоносное ПО собирает определенные данные в зараженной компьютерной системе, включая IP-адреса и информацию об установленных и активных приложениях, и отправляет их на сервер злоумышленников, расположенный в Соединенных Штатах.

Avast Piriform – родительская компания и разработчик CCleaner – обнаружила вредоносный код 12 сентября 2017 года и сразу же предприняла шаги по его нейтрализации. Первоначально предполагалось, что масштаб заражения ограничивается вышеупомянутыми версиями, работающими лишь на 32-битных системах Windows и что загрузка обновленных версий программы решит проблему. Считается, что зараженную утилиту скачали более 2 миллионов пользователей.

К сожалению, вскоре выяснилось, что ситуация гораздо серьезнее. Специализирующаяся на безопасности фирма Cisco Talos обнаружила вторую фазу атаки: в списке почти 20 взломанных крупнейших технологических компаний оказались Google, Microsoft, Cisco и Intel, а количество зараженных компьютеров достигло 40.

По данным Wired, «в Cisco утверждают, что получили из неназванного источника, участвующего в расследовании CCleaner, цифровую копию командного сервера хакеров. На сервере была база данных, включающая все взломанные компьютеры, которые «позвонили домой», т.е. на компьютер хакеров с 12 по 16 сентября.

Хотя нет никаких свидетельств, позволяющих с уверенностью назвать ответственного за создание вредоносного ПО CCleaner, следователи обнаружили ссылку на китайскую хакерскую группу Axiom.

В вирусе CCleaner используется такой же код как в утилитах Axiom, а метка времени на зараженном сервере соответствует китайскому часовому поясу. Однако временные метки могут быть изменены или модифицированы, что затрудняет точное определение происхождения.

Учитывая выбор технических целей, есть предположение, что вирус CCleaner может быть частью вредоносной атаки, организованной с «государственной поддержкой». По состоянию на конец 2017 года поиск ответственных за хакерских взлом продолжается.

Как избавиться от вируса CCleaner?

Когда в CCleaner был обнаружен вирус, пользователям рекомендовали перейти на новейшую версию программы, полагая, что это был единичный инцидент, а более поздние версии оставались чистыми. Однако обнаружение второй фазы атаки осложнило и удаление вредоносного кода, и защиту.

Наличие плана аварийного восстановления может оказаться единственным способом, по-настоящему гарантирующему, отсутствие вредоносного ПО CCleaner на вашем компьютере. Эксперты рекомендуют восстанавливать системы до версий резервных копий, созданных до 15 августа, когда появились первые зараженные утилиты.

Инфицированную версию CCleaner следует удалить и запустить антивирусные проверки, чтобы быть уверенным в том, что система очищена. Если вы решите переустановить CCleaner, пользуйтесь самой последней версией или в крайнем случае версией 5.34 или выше.

CCleaner, как известно, является отличным инструментом для устранения вредоносных программ, которые прячутся глубоко в компьютерных системах, но, как показывает инцидент с вирусом CCleaner, даже программы, созданные для защиты наших компьютеров от угроз, не защищены от хакеров.

Статьи и ссылки по теме:

Продукты:

Вирус CCleaner

Kaspersky

Вирус CCleaner – это вредоносная программа, маскирующаяся под популярную утилиту для очистки компьютера CCleaner. Обнаруженный в сентябре 2017 года вирус был создан хакерами для кражи конфиденциальных данных ничего не подозревающих пользователей.

В популярной утилите CCleaner обнаружен бэкдор

В популярной утилите CCleaner обнаружен бэкдор

Alexander Antipov

В CCleaner обнаружен бэкдор, заразивший порядка 2,3 млн устройств.


Исследователи безопасности из Cisco Talos обнаружили
вредоносный код в популярной утилите CCleaner от компании Avast. Бэкдор позволяет злоумышленникам загружать дополнительное вредоносное ПО, например, программы-вымогатели или кейлоггеры. По предварительным оценками Avast, скомпрометированная версия CCleaner была загружена 2,27 млн раз.


Как показало дальнейшее исследование, скомпрометированные версии CCleaner 5.33 и CCleaner Cloud 1.07.3191 были загружены на сервер CCleaner по меньшей мере 11 сентября. По словам исследователей, они были модифицированны перед тем, как стали доступны широкой публике.


Вредонос собирал, шифровал и отправлял на сервер злоумышленников информацию об имени компьютера, установленном программном обеспечении и запущенных процессах. Хакеры использовали алгоритм генерации домена (Domain Generation Algorithm, DGA) для создания новых доменов и последующей передачи украденных данных в том случае, если сервер злоумышленников выйдет из строя. Использование DGA может говорить о профессионализме хакеров, отметили эксперты Cisco Talos.

По словам разработчиков утилиты ССleaner, компании Piriform, сервер, с которого осуществлялось распространение зараженной версии, уже отключен. Пользователи облачного сервиса CCleaner Cloud получили обновление автоматически, остальным пользователям рекомендуется как можно быстрее обновить свое программное обеспечение. Как заявил операционный директор Avast Ондрей Влчек (Ondrej Vlcek), компания не собирается преуменьшать масштабы заражения. 2,27 млн устройств – это очень много, отметил он, но причин для паники нет, поскольку вредоносное ПО было выявлено раньше, чем его полезную нагрузку успели активировать.


CCleaner — утилита для очистки и оптимизации жесткого диска. По состоянию на ноябрь 2016 года она была загружена 2 млрд раз и каждую неделю число загрузок увеличивается еще на 5 млн. Разработчиком утилиты является фирма Piriform, которую в 2017 году приобрела компания Avast Software.


на нашем Телеграм канале мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.


Поделиться новостью:

Что делать с заражением вредоносным ПО CCleaner на Windows

Если вы когда-либо подозревали, что на вашем ПК была вирусная инфекция, и вы столкнулись с проблемой, скорее всего, вы столкнулись с CCleaner как надежное решение для устранения проблемы. Он имеет довольно много слов в Интернете и часто упоминается как решение большинства проблем, поражающих ПК. Приложение прост в использовании, поэтому многие люди его используют, но выяснилось, что в течение одного месяца, CCleaner распространяет вредоносное ПО on Windows. Если вы используете приложение, возможно, вы стали жертвой заражения вредоносным ПО CCleaner. Вот что вы можете с этим сделать.

Зараженные версии CCleaner

Согласно отчету, следующие две версии CCleaner содержат вредоносное ПО;

  • CCleaner 32-бит версия 5.33.6162
  • CCleaner cloud version 1.07.3191

Проверка на инфекцию

Хотя 64-разрядная версия CCleaner не была названа одной из зараженных версий, люди, использующие ее, обнаружили, что их система заражена. Если вы использовали одну из двух версий приложения, указанных выше, вы инфицированы. Есть еще один способ проверить вашу систему на наличие вредоносных программ; сквозь Windows реестр.

Откройте Windows Реестр и перейдите в;

HKEY_LOCAL_MACHINESOFTWAREPiriformAgomo

Если ключ Agomo находится в реестре, ваша система была заражена. Это самый надежный способ проверить инфекцию.

Удаление инфекции

Если вы были заражены, выполните следующие действия, чтобы удалить его.

модернизация CCleaner 32-бит для версии 5.34. Piriform знает о проблеме и уже исправил его в виде обновления приложения.

Удалить ключ Agomo из Windows реестр. Это должно помочь, но как только вы удалите раздел реестра, вам следует просканировать свою систему на наличие вредоносных программ.

Если ваши проверки показывают заражение и не могут его удалить, вам может потребоваться сбросить Windows реестра. К сожалению, самый простой и безопасный способ сделать это — переустановить Windows. Если у вас есть Windows 10, вы можете просто сбросить Windows. В результате ваши приложения будут удалены, но вы не потеряете свои файлы. Убедитесь, что в вашей системе нет зараженных файлов. Если у вас есть зараженные файлы и вы не можете их удалить, вам придется выполнить новую установку Windows 10.

Другое решение восстановить систему указать до августа 2017. Зараженная версия приложения не была выпущена в то время, поэтому системный образ, сохраненный в этот момент, будет свободен от заражения. К сожалению, не многие люди регулярно создают резервную копию полного образа системы, поэтому это решение не будет жизнеспособным для большинства зараженных систем.

Первоначальные сообщения о заражении говорят, что это не очень опасно. Причина заключалась в том, что вредоносное ПО должно выполняться несколькими шагами, и эта инфекция была только первым шагом. Второй никогда не выполнялся и таким образом минимизировал риск. Тем не менее, новые детали все еще идут вперед, поэтому проверьте свою систему и предпримите превентивные меры.

Источник

Как спастись от вируса, которым заражена программа CCleaner

В Департаменте киберполиции Национальной полиции Украины предупреждают о заражении вредоносным программным обеспечением одного из обновлений популярной программы «CCleaner».

Как сообщает в понедельник вечером департамент киберполиции, информация о наличии вируса в «CCleaner» поступила к ним от подразделения компании «Cisco Talos».

В обнародованном сообщении отмечается, что зараженная вирусом версия программы «CCleaner» (5.33) была выпущена в период с 15 августа по 12 сентября 2017 года. Эта версия подписана с использованием действительного цифрового сертификата, который был выпущен компанией-разработчиком «Symantec Piriform Ltd». Поэтому пользователи при загрузке обновлений были уверены в надежности источника.

В то же время, зафиксировано около сотни IP-адресов, которые осуществляют подключение к серверу злоумышленников.

«Для недопущения распространения вируса и устранения всех технических проблем, киберполиции в частном порядке направит Интернет-провайдерам официальные письма с указанием IP-адресов инфицированных компьютеров для того, чтобы пользователи могли самостоятельно удалить вредоносное программное обеспечение со своего персонального компьютера», — говорится в сообщении.

В настоящее время специалисты по киберполиции временно не рекомендуют использовать программное обеспечение «CCleaner» украинским пользователям, а советуют искать аналогичные продукты. Кроме того, специалисты советуют убедиться, что установленное на компьютерных системах антивирусное программное обеспечение функционирует должным образом и использует актуальные базы вирусных сигнатур.

Как сообщала «Страна», сегодня стало известно, что хакеры взломали программу по очистке компьютера CCleaner и похитили данные пользователей.

Как сообщала «Страна», ранее хакеры добрались до аккаунтов знаменитостей в Instagram.

Также «Страна» сообщала, что лидер правящей в Германии партии обвинила Россию в хакерской атаке на ее сайт.

Подпишитесь на телеграм-канал Политика Страны, чтобы получать ясную, понятную и быструю аналитику по политическим событиям в Украине.

Что такое вредоносное ПО CCleaner и как его удалить?

CCleaner — это служебная программа, предназначенная для удаления ненужных файлов с компьютера. Программа избавляется от временных файлов, занимающих место на диске, и недействительных ключей реестра Windows. Во время очистки также удаляются вредоносные файлы, зарытые в системе. В январе 2017 года CNET поставил программе оценку «Очень хорошо».

Однако в сентябре 2017 года была обнаружена вредоносная программа CCleaner. Хакеры взяли легитимную программу и вставили вредоносный код, предназначенный для кражи данных у пользователей.Они превратили инструмент, предназначенный для очистки вашего компьютера от скрытых вредоносных программ, в серьезную угрозу для конфиденциальной и личной информации.

Общие сведения об угрозе

Вредоносная программа состояла из двух троянских программ, Trojan.Floxif и Trojan.Nyetya, вставленных в бесплатные версии CCleaner версии 5.33.6162 и CCleaner Cloud версии 1.07.3191. Считается, что хакеры взломали среду сборки CCleaner, чтобы вставить вредоносное ПО.

Согласно различным отчетам, вредоносная программа способна собирать определенные данные из зараженной компьютерной системы, включая IP-адреса и информацию об установленном и активном программном обеспечении, и отправлять их на сторонний сервер, расположенный в США.

Компания-учредитель CCleaner, Avast Piriform, обнаружила вредоносное ПО 12 сентября 2017 г. и немедленно приняла меры для устранения проблемы. Первоначально компания полагала, что она ограничена вышеуказанными версиями, работающими в 32-битных системах Windows, и что загрузка обновленных версий программы решит проблему. Считается, что более 2 миллионов пользователей были заражены.

К сожалению, вскоре компания обнаружила, что заражение вредоносным ПО оказалось более серьезным, чем предполагалось изначально.Полезная нагрузка второй ступени была обнаружена Cisco Talos. Эта полезная нагрузка была нацелена примерно на 20 крупнейших технологических компаний, включая Google, Microsoft, Cisco и Intel, и заразила 40 компьютеров.

Согласно Wired, «Cisco утверждает, что получила цифровую копию командно-административного сервера хакеров из неназванного источника, участвовавшего в расследовании CCleaner. машина хакеров с 12 по 16 сентября ».

Хотя нет никаких окончательных доказательств, идентифицирующих сторону, ответственную за вредоносное ПО CCleaner, следователи обнаружили связь с китайской хакерской группой, известной как Axiom.

Вредоносная программа CCleaner имеет общий код с инструментами, используемыми Axiom, а отметка времени на взломанном сервере соответствует часовому поясу Китая; однако отметки времени могут быть изменены или модифицированы, что затрудняет точное определение источника.

В сочетании с выбором технических целей это вызвало опасения, что вредоносное ПО CCleaner могло быть частью спонсируемой государством атаки.По состоянию на конец 2017 года расследование виновности взлома продолжается.

Как избавиться от вредоносного ПО CCleaner?

Когда вредоносная программа CCleaner была впервые обнаружена, пользователям посоветовали перейти на новейшую версию программы, полагая, что это был единичный инцидент, а более поздние версии были безопасными. Однако обнаружение полезной нагрузки второй ступени усложнило удаление и защиту.

Наличие плана аварийного восстановления может быть единственным способом действительно гарантировать, что ваш компьютер не заражен вредоносным ПО CCleaner.Исследователи рекомендуют восстанавливать системы до версий из резервных копий, выпущенных до 15 августа, когда были выпущены первые зараженные инструменты.

Необходимо удалить зараженную версию CCleaner и запустить антивирусное сканирование, чтобы убедиться в чистоте системы. Если вы решите переустановить CCleaner, это должна быть самая последняя доступная версия или, по крайней мере, версия 5.34 или выше.

CCleaner известен как отличный инструмент для устранения вредоносных программ, которые скрываются глубоко в компьютерных системах, но, как показывает инцидент с вредоносным ПО CCleaner, даже программы, созданные для защиты наших компьютеров от угроз, не защищены от хакеров.

Статьи по теме:

Связанные продукты:

CCleaner Malware

Kaspersky

CCleaner malware — это вредоносная программа под названием CCleaner, замаскированная под легальное программное обеспечение. Обнаруженное в сентябре 2017 года вредоносное ПО CCleaner было разработано хакерами для кражи конфиденциальных данных у ничего не подозревающих пользователей.

CCleaner Malware: зараженные загрузки с официальных серверов

В ходе атаки на цепочку поставок, которая может быть беспрецедентной по количеству загрузок, серверы загрузки, на которых размещен CCleaner, распространяемый Avast, поставляют версию CCleaner с вредоносным ПО.

Обновление (19.09.2017):

Avast опубликовал разъяснение, объясняющее, что произошло, и временную шкалу событий. Следует обратить внимание на то, что нарушение предшествовало поглощению Piriform компанией Avast.

Пользователи, которые не уверены, повлияло ли это на них и могли ли их данные быть отправлены на сервер C2, могут проверить наличие следующих значений в разделе реестра:

HKEY_LOCAL_MACHINE \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Piriform \ Agomo

Рассматриваемые значения:
MUID, TCID и NID

Эти значения создаются не чистыми версиями CCleaner, а только зараженными.

Malwarebytes обнаружит наличие этих значений и пометит их как Trojan.Floxif.Trace

Сообщается, что сам троян работал только в 32-битных системах Windows, но указанные выше значения были созданы и в 64-битных системах.

Оригинал сообщения:

В ходе атаки на цепочку поставок, которая может быть беспрецедентной по количеству загрузок, серверы, на которых размещен CCleaner, популярный инструмент для очистки ПК, поставляют версию указанного программного обеспечения с вредоносным ПО.

Является ли CCleaner вредоносным?

Злоумышленникам удалось изменить файлы, доставляемые серверами Avast, на которых размещены обновления CCleaner. Если вам интересно, почему они были на этих серверах, несколько месяцев назад Avast приобрел Piriform, первого издателя CCleaner.

Об инциденте сообщил Талос. Piriform осведомлен о ситуации и принимает меры для предотвращения дальнейшего ущерба. Они также изучают, как файлы, поступающие с их серверов, были изменены перед публикацией.

Возможное воздействие

В настоящий момент трудно сказать, сколько пользователей могло быть затронуто, но цифры могут быть огромными. Согласно статистике, предоставленной Piriform, CCleaner был загружен в общей сложности 2 миллиарда раз, 5 миллионов раз в неделю. Модифицированная версия 5.33 будет доступна с 15 августа по 12 сентября, когда была выпущена версия 5.34. В заявлении для прессы, по оценкам компании, 2,27 миллиона человек использовали уязвимое программное обеспечение.

Вредоносное ПО CCleaner

Вредоносная программа собирает следующую информацию о зараженной системе:

  • Имя компьютера
  • Список установленного программного обеспечения, включая обновления Windows
  • Список текущих запущенных процессов
  • MAC-адреса первых трех сетевых адаптеров
  • Другая системная информация, относящаяся к вредоносному ПО, например права администратора, 64-разрядная система и т. Д.

Вредоносная программа использует жестко запрограммированный сервер C2 и алгоритм генерации домена (DGA) в качестве резервной копии для отправки информации о пораженной системе и получения окончательной полезной нагрузки.

Что делать, если вы считаете, что пострадали?

Прежде всего, проверьте версию CCleaner в вашей системе. Если вы подозреваете, что загрузили CCleaner версии 5.33.6162 или CCleaner Cloud версии 1.07.3191, просканируйте свою систему на наличие вредоносных программ.

Пользователям

CCleaner, которые используют более старые версии или которые не доверяют той, которую они используют сейчас, рекомендуется обновить свое программное обеспечение CCleaner до версии 5.34 или выше. Последнюю версию можно скачать здесь.

Затронутые версии: CCleaner версии 5.33.6162 и CCleaner Cloud версии 1.07.3191

Malwarebytes блокирует IP и домены, связанные с этой вредоносной программой. Также удаляем вредоносный установщик.

Оставайтесь в безопасности!

Питер Арнц

CCleaner Malware hack: что это такое и как этого избежать

Похоже, что CCleaner, одна из рекомендаций PCWorld по выбору лучшего бесплатного программного обеспечения для новых ПК, в конце концов, возможно, не помогала поддерживать ваш компьютер в такой чистоте.В ходе углубленного исследования популярного программного обеспечения для оптимизации и очистки Cisco Talos обнаружила вредоносный фрагмент кода, введенный хакерами, который мог затронуть более 2 миллионов пользователей, загрузивших последнее обновление.

Примечание редактора. Эта статья была впервые опубликована 18 сентября 2017 г., но 21 сентября была дополнена подробностями о вредоносном ПО, нацеленном на конкретные технологические компании в целях промышленного шпионажа.

13 сентября Cisco Talos обнаружила, что официальная загрузка бесплатных версий CCleaner 5.33 и CCleaner Cloud 1.07.3191 также содержали «вредоносную полезную нагрузку, которая включала алгоритм генерации домена, а также жестко запрограммированные функции управления и контроля». Это означает, что хакер проник в официальную сборку Avast Piriform где-то в процессе разработки, чтобы внедрить вредоносное ПО, предназначенное для кражи данных пользователей.

Cisco Talos подозревает, что злоумышленник «скомпрометировал часть среды разработки или сборки (CCleaner) и использовал этот доступ для вставки вредоносного ПО в сборку CCleaner, которая была выпущена и размещена в организации.«Таким образом, личная информация клиентов не подвергалась риску.

В своем сообщении в блоге вице-президента по продуктам Пола Юнга он заявляет, что компания идентифицировала атаку 12 сентября и предприняла соответствующие действия еще до того, как Cisco Talos уведомила их об их обнаружении. Юнг говорит, что атака была ограничена CCleaner и CCleaner Cloud на 32-битных системах Windows — к счастью, большинство современных ПК, вероятно, будут работать с 64-битной версией.

Юнг заверяет клиентов, что угроза устранена и «несанкционированный сервер» отключен.Он также говорит, что Piriform закрыл хакерам доступ к другим серверам. Кроме того, компания переводит всех пользователей на последнюю версию программного обеспечения, которая уже доступна на веб-сайте компании (хотя в примечаниях к выпуску упоминаются только «мелкие серьезные исправления»). способен обезвредить угрозу до того, как она сможет причинить какой-либо вред. В настоящее время цель атаки неясна, хотя Avast утверждает, что код смог собрать информацию о локальной системе.

Cisco Talos

Обновление: 21 сентября Avast обнаружил, что вредоносная программа была разработана для доставки полезной нагрузки второго уровня на зараженные компьютеры в определенных организациях, и по крайней мере 20 машин в восьми компаниях связались с сервером управления и контроля. . «Учитывая, что журналы собирались немногим более трех дней, фактическое количество компьютеров, получивших полезную нагрузку 2-го уровня, вероятно, составляло порядка сотен», — говорит Avast.

Cisco Talos также изучила командный сервер вредоносной программы и сообщила, что она пыталась проникнуть на ПК технологических организаций, включая Intel, Samsung, HTC, VMWare, саму Cisco и другие.Вы можете увидеть полный список справа. Cisco Talos подозревает, что злоумышленники планировали использовать вредоносное ПО для промышленного шпионажа.

Что делать с вредоносным ПО CCleaner

Персональные пользователи могут загрузить CCleaner 5.34 с веб-сайта Avast, если они еще этого не сделали. Предыдущие выпуски также по-прежнему доступны на веб-сайте компании, но зараженная версия была удалена с серверов компании. Вы также захотите выполнить антивирусное сканирование своего компьютера. Если вы столкнулись с этой проблемой, Cisco Talos рекомендует использовать резервную копию для восстановления вашего ПК до состояния до 15 августа 2017 г., когда была выпущена взломанная версия.

Воздействие на вас дома: Хотя частные пользователи в целевой области не должны видеть никакого воздействия от этой попытки атаки, это все еще пугает. В то время как Avast обнаружил проблему и разрешил ее без инцидентов, небольшие компании, возможно, не смогут отреагировать так быстро. Например, ранее в этом году было обнаружено, что вирус-вымогатель NotPetya несет ответственность за взлом украинской компании-разработчика программного обеспечения MeDoc. Программы-вымогатели становятся тревожной тенденцией, и если хакерам удастся заразить зараженные серверы обновлений, они смогут распространить вредоносное ПО на как можно большем количестве компьютеров.

Примечание. Когда вы покупаете что-то после перехода по ссылкам в наших статьях, мы можем получить небольшую комиссию. Прочтите нашу политику в отношении партнерских ссылок для получения более подробной информации.

Avast считает, что вредоносное ПО CCleaner заразило 2,27 млн ​​пользователей — TechCrunch

Пользователи бесплатного программного инструмента, предназначенного для оптимизации производительности системы на ПК с Windows и мобильных устройствах Android, были шокированы этим утром, когда Piriform, компания, производящая инструмент CCleaner, сообщила в своем блоге, что определенные версии программного обеспечения были скомпрометированы. хакерами — и это вредоносное программное обеспечение для сбора данных использовало свою программу установки.

Затронутые версии программного обеспечения: CCleaner 5.33.6162 и CCleaner Cloud 1.07.3191.

Компания призывает пользователей перейти на версию 5.34 или выше (которая, по ее словам, доступна для загрузки здесь).

Таким образом, очевидно, что у некоторых пользователей все еще может быть скомпрометированный компьютер (Piriform заявляет, что переводит всех пользователей CCleaner на последнюю версию программного обеспечения, при этом отмечая, что пользователи CCleaner Cloud будут обновлены автоматически).

Вредоносная программа, по-видимому, была способна собирать различные типы данных с зараженных машин, в частности, по словам Piriform: имя компьютера, IP-адрес, список установленного программного обеспечения, список активного программного обеспечения и список сетевых адаптеров (данные, которые он описывает как «не- чувствительный ») — передача его на компьютерный сервер третьей стороны, расположенный в США.

«У нас нет никаких указаний на то, что на сервер были отправлены какие-либо другие данные», — пишет он.

«Работая с правоохранительными органами США, мы отключили этот сервер 15 сентября до того, как был нанесен какой-либо известный ущерб. Обнародование этого факта до того, как сервер был отключен и мы завершили нашу первоначальную оценку, было бы препятствием для расследования правоохранительных органов », — добавили в нем.

Пресс-секретарь гиганта безопасности Avast, который приобрел британскую компанию еще в июле, сказала нам: «Мы считаем, что эти пользователи сейчас в безопасности, поскольку наше расследование показывает, что мы смогли обезвредить угрозу до того, как она нанесла какой-либо вред. .”

«По нашим оценкам, 2,27 миллиона пользователей имели уязвимое программное обеспечение, установленное на 32-битных компьютерах Windows», — добавила она.

На момент приобретения у CCleaner было 130 миллионов пользователей, в том числе 15 миллионов на Android. Таким образом, были высказаны опасения по поводу очень большого потенциального количества затронутых устройств.

Хотя может показаться, что в этом случае нелегальная полезная нагрузка была успешно доставлена ​​лишь небольшому меньшинству пользователей — особенно тем, кто использует 32-разрядные ПК с Windows.

По словам представителя Avast, никто из людей, использующих этот инструмент на устройствах Android, не пострадал.

Вице-президент по продуктам

Piriform подробно остановился на технических деталях взлома, написав: «Несанкционированная модификация двоичного файла CCleaner.exe привела к установке двухэтапного бэкдора, способного запускать код, полученный с удаленного IP-адреса на затронутые системы ».

Он также отмечает, что компания впервые заметила подозрительную активность 12 сентября 2017 года, прежде чем дальнейшее расследование показало, что «5.Версия CCleaner 33.6162 и версия CCleaner Cloud 1.07.3191 была незаконно модифицирована до того, как была выпущена для широкой публики ».

Это означает, что компьютеры некоторых пользователей CCleaner для Windows могли быть скомпрометированы более чем на месяц, учитывая, что уязвимые версии инструмента были выпущены 15 и 24 августа соответственно.

Piriform добавил, что, по его оценке, эти версии «могли использоваться до 3% наших пользователей», что привело бы к увеличению пула затронутых пользователей до 3.9М.

Технический директор

Avast Ондрей Влчек отказался строить предположения о намерениях хакеров в отношении данных, собираемых вредоносным ПО, заявив, что он не может комментировать информацию о расследовании, которое в настоящее время ведется правоохранительными органами.

На вопрос, какие дополнительные меры он принимает для защиты от подобной атаки в будущем, Влчек сказал нам: «Мы стараемся, чтобы эта проблема не повторилась, перемещая всю среду сборки продукта Piriform в более надежную и безопасную инфраструктуру, предоставляемую Avast.”

Вредоносное ПО

CCleaner: проверьте, не заражены ли вы и удалите угрозу

CCleaner недавно был заражен вредоносным ПО, которое встревожило многих пользователей, поскольку это, вероятно, самая популярная программа для очистки Windows. Если бы мы использовали версию 5.33, то наш компьютер мог бы быть заражен. В этом руководстве мы покажем вам, как проверить, есть ли в вашей системе вредоносное ПО CCleaner, и дадим несколько полезных советов по избавлению от него.

Разблокируйте любой международный веб-сайт, просматривайте анонимно и скачивайте фильмы и Mp3 в полной безопасности с помощью CyberGhost всего за 2 доллара.75 в месяц:

Если вас не интересует, что это за вредоносная программа или на кого она нацелена, вы можете сразу перейти к этой части, чтобы узнать, как проверить свой компьютер и удалить любую инфекцию, связанную с CCleaner.

Как вредоносная программа попала в CCleaner?

Как вы, возможно, знаете, компания Piriform разработала CCleaner. Однако в июле 2017 года Avast выкупила компанию вместе со всеми ее продуктами.

Вскоре после этого одному или нескольким хакерам удалось проникнуть на серверы Avast и заразить CCleaner трояном.Вероятно, они интегрировали вредоносное ПО в одно из обновлений CCleaner.

Avast утверждает, что хакеры должны были атаковать Piriform задолго до того, как они его купили, но это не меняет того факта, что злоумышленники использовали серверы Avast.

По шкале от 0 до 10, насколько иронично, что CCleaner заразился вредоносным ПО всего через месяц после того, как антивирусная компания купила его?

Антивирусная компания, заканчивающая распространение вредоносного ПО; мы думаем, что он стоит как минимум 8.

В любом случае зараженная версия CCleaner — это 5.33.6162, выпущенная 15 августа. В течение четырех недель никто не догадывался, что программа установила троян в системе пользователя.

Компания Morphisec впервые заметила проблему 12 сентября. Они проинформировали Avast, который предпринял все необходимые шаги для подавления угрозы. Они немедленно выпустили версию 5.33.6163, которая была небольшим обновлением, направленным на исправление проблемной версии. По сути, единственное отличие от 5.33.6162 — это отсутствие трояна.

До сих пор было еще больше обновленных версий, и самая последняя версия CCleaner — 5.35. Avast также подтвердил, что вредоносное ПО отсутствует в следующих выпусках CCleaner, начиная с версии 5.34 и далее.

Каким вирусом была вредоносная программа CCleaner

Теперь возникает вопрос, что эта вредоносная программа сделала с зараженными машинами? Кто были его целями? Стоит ли волноваться?

Как только они обнаружили проблему, команда Cisco Talos проанализировала угрозу и пришла к выводу, что она не нацелена на домашних пользователей.

Для тех, кто не знаком с Talos, скажем так, что это группа, которая собирает информацию о существующих онлайн-угрозах и предлагает защиту от вирусов и вредоносных программ.

Первая полезная нагрузка

Согласно анализу Talos, вредоносная программа была разработана для сбора следующей информации:

  • Имя компьютера
  • MAC-адрес до трех сетевых адаптеров
  • Список установленных программ и Обновления Windows
  • Процессы, запущенные в данный момент
  • Другая системная информация, такая как архитектура ОС (32-разрядная или 64-разрядная), права администратора и так далее.

Затем троян использовал сервер C2 для загрузки собранной информации и загрузки первых полезных данных на компьютер пользователя.

Если вас интересует подробный анализ вредоносного ПО CCleaner, сделанный Talos, перейдите по этой ссылке.

Вторая полезная нагрузка

На этом троян, похоже, не остановился. Следующим шагом была загрузка второй полезной нагрузки в зараженную систему. Таким образом, 20 сентября команда Talos провела второй анализ вредоносного ПО CCleaner.

Среди прочего, они утверждают, что основной целью злоумышленников был список известных компаний и брендов. Среди них мы видим Samsung, Sony и даже Cisco.

Здесь вы можете прочитать второй отчет.

Сколько пользователей были заражены?

Если принять во внимание скорость загрузки CCleaner на веб-сайте Piriform, то количество зараженных пользователей может быть огромным.

Как мы видим, компания сообщает о более чем 2 миллиардах загрузок по всему миру и более 5 миллионах установок каждую неделю.

К счастью, пользователей, которые могли быть заражены, намного меньше, поскольку только два продукта CCleaner содержали троян; 32-битная версия для Windows и облачная версия.

Общее количество компьютеров, изначально затронутых проблемой, составило около 2,27 миллиона. К 18 сентября систем, все еще использующих зараженный CCleaner, пострадавших от второй полезной нагрузки, оценивается примерно в 730 000.

Конечно, Avast отключил вредоносное ПО на стороне сервера, поэтому люди, которые все еще используют версию 5.33, они полностью безопасны; по крайней мере, так утверждает Avast в своем отчете.

Как проверить наличие вредоносного ПО CCleaner на вашем компьютере

Хотя мы не подвергаемся риску, даже с версией 5.33, рекомендуется найти вредоносное ПО и удалить его — если мы вообще заразились.

Первое, что нам нужно сделать, это посмотреть версию CCleaner, установленную на нашем компьютере. Мы можем открыть программу и проверить в левом верхнем углу.

Даже если у нас более старая версия, чем 5.33, рекомендуется обновить его и установить новую версию 5.35, которую мы можем загрузить с веб-сайта Piriform.

Если мы используем облачную версию CCleaner, вирус находится в версии 1.07.3192.

Проверить реестр Windows

Помимо версии выпуска, мы также можем взглянуть на наш реестр Windows и посмотреть, сможем ли мы найти какие-либо подозрительные записи.

Мы нажимаем клавишу Windows вместе с R, чтобы открыть команду «Выполнить», и набираем «regedit».

Как только мы окажемся в редакторе реестра, мы перейдем в следующее местоположение:

 HKEY_LOCAL_MACHINE \ SOFTWARE \ Piriform \ Agomo 

В этой папке мы проверяем справа, видим ли мы какое-либо значение с именем MUID, TCID или NID.

Чистая версия CCleaner не генерирует эти значения. Если вы видите их в своем реестре, это означает, что ваш компьютер в какой-то момент был заражен.

То же самое касается этого пути:

 HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ WbemPerf 

Здесь мы ищем значения 001, 002, 003, 004 и HBP. Их существование является убедительным свидетельством того, что у нас есть вредоносное ПО.

Кроме того, стоит упомянуть, что, хотя троян корректно работает только в 32-битных системах, указанные выше значения также создаются в 64-битных версиях Windows.

Что делать, если у меня есть вредоносная программа CCleaner?

Защита от вредоносных программ — лучший способ действий, если мы заражены. Например, Malwarebytes может определить угрозу и поместить ее в карантин.

Если вы подозреваете, что у вас троян, или просто хотите обезопасить себя, вы можете скачать Malwarebytes отсюда.

После быстрого сканирования практически любая антивирусная программа обнаружит файл как Trojan.Floxif и автоматически поместит его в карантин.

Вторая полезная нагрузка связана с Trojan.Famberp, который аналогичным образом обнаруживает антивирусные приложения. Другие файлы, связанные с угрозой, которая, вероятно, будут удалены, являются следующие:

  • GeeSetup_x86.dll (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
  • EFACli64.dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f)
  • TSMSISrv.dll (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)

    System восстановить

Из-за второй полезной нагрузки Cisco предлагает нам восстановить нашу систему из точки восстановления до заражения, если она у нас есть.

Чтобы получить доступ к функции «Восстановление системы», щелкните правой кнопкой мыши «Пуск» и выберите «Панель управления».

Введите «восстановление» в строке поиска и щелкните по нему.

Перейдите в «Открыть восстановление системы» и нажмите «Далее».

Оттуда выберите точку восстановления до 15 августа и следуйте инструкциям, чтобы завершить восстановление.

Безопасен ли CCleaner?

Новые версии CCleaner безопасны, поэтому мы можем продолжать использовать программу.

Однако оказывается, что даже самые знакомые и проверенные приложения иногда могут содержать опасное программное обеспечение.Если вы не хотите использовать сторонние приложения для очистки, вы всегда можете настроить свой компьютер на автоматическую очистку.

Как очистить Windows автоматически, без CCleaner

Заразило ли ваше устройство вредоносное ПО CCleaner?

Обнаружили ли вы на своем компьютере какие-либо подозрительные угрозы? Если да, удалось ли вам избавиться от него с помощью шагов, которые мы упомянули выше?

Если у вас возникнут другие проблемы или вам есть что добавить, не стесняйтесь оставлять комментарии.

Поддержка шагов ПК

Вы хотите поддерживать шаги ПК, чтобы мы могли публиковать высококачественные статьи в течение недели?

Вы можете лайкнуть нашу страницу в Facebook, поделиться этим постом с друзьями и выбрать наши партнерские ссылки для покупок на Amazon.com или Newegg.

Если вы предпочитаете делать покупки в Китае, мы сотрудничаем с крупнейшими международными интернет-магазинами:

CCleaner для Windows, взломанный для распространения вредоносных программ, обновите сейчас

CCleaner для Windows был взломан для распространения вредоносного ПО среди пользователей 32-разрядной версии. Вот что вам нужно знать (и что делать).

CCleaner, популярная утилита для очистки файлов и оптимизации производительности для Windows, была взломана для распространения вредоносных программ среди пользователей 32-разрядной версии.Взлом был обнаружен исследователями безопасности из Cisco Talos Group. Они обнаружили, что хакеры смогли внедрить вредоносное ПО в приложение, получив доступ к серверам загрузки, используемым поставщиком антивируса Avast (материнская компания, владеющая CCleaner). «В течение некоторого времени легитимная подписанная версия CCleaner 5.33, распространяемая Avast, также содержала многоэтапную вредоносную нагрузку, которая использовалась поверх установки CCleaner», — пишет команда Talos.

Вредоносная программа позволяла удаленно управлять зараженной системой и собирать данные с вашего компьютера.«Компрометация может привести к передаче неконфиденциальных данных (имя компьютера, IP-адрес, список установленного программного обеспечения, список активного программного обеспечения, список сетевых адаптеров) на сторонний компьютерный сервер в США», — говорится в заявлении Piriform. выдается в понедельник.

Вредоносная программа поражает CCleaner версии 5.33.6162 и CCleaner Cloud версии 1.07.3191. По данным Avast, около 2,27 миллиона человек использовали уязвимое ПО. К счастью, компания предпринимает необходимые шаги для исправления ситуации.В своем сообщении в блоге этим утром руководитель Piriform Пол Юнг пишет: «Мы переводим всех существующих пользователей CCleaner v5.33.6162 на последнюю версию. Пользователи CCleaner Cloud версии 1.07.3191 получили автоматическое обновление. Другими словами, насколько нам известно, мы смогли обезвредить угрозу до того, как она нанесла какой-либо вред ».

Проверьте свою версию CCleaner

Чтобы определить версию CCleaner, которую вы используете в настоящее время, просто запустите приложение и проверьте номер версии в верхнем левом углу приложения рядом с логотипом.Текущая некомпрометированная версия на момент написания — 5.34.6207.

Убедитесь, что у вас установлена ​​версия 5.34.6207 или выше. 64-битные версии не пострадали от этого нарушения безопасности.

Если вы не запускали CCleaner какое-то время, вы, вероятно, получите сообщение, подобное показанному ниже, которое предупреждает вас о доступном обновлении.

Обратите внимание, что версия Android не была затронута. Была скомпрометирована только 32-битная версия для Windows.Если вы используете 64-разрядную версию, все будет в порядке, но не помешает проверить наличие обновлений.

График атаки

CCleaner — вот как хакеры заразили 2,3 миллиона компьютеров

В прошлом году популярное программное обеспечение для очистки системы CCleaner постоянно подвергалось массированной атаке вредоносного ПО, в ходе которой хакеры скомпрометировали серверы компании более месяца и заменили исходную версию программного обеспечения вредоносной.

Атака вредоносного ПО заразила более 2.3 миллиона пользователей, которые загрузили или обновили свое приложение CCleaner в период с августа по сентябрь прошлого года с официального сайта с бэкдор-версией программного обеспечения.

Теперь выясняется, что хакерам удалось проникнуть в сеть компании почти за пять месяцев до того, как они впервые заменили официальную сборку CCleaner версией с бэкдором, сообщил исполнительный вице-президент и технический директор Avast Ондрей Влчек на конференции по безопасности RSA в Сан-Франциско во вторник.

6-месячный график атаки CCleaner Supply Chain Attack

Влчек поделился краткой временной шкалой прошлогоднего инцидента, который оказался худшим кошмаром для компании, подробно описав, как и когда неизвестные хакеры взломали Piriform, компанию, которая создала CCleaner и была приобретена Avast в июле 2017 года.

11 марта 2017 г. (5:00 по местному времени) — Злоумышленники сначала получили доступ к автоматической рабочей станции одного из разработчиков CCleaner, которая была подключена к сети Piriform, с помощью программного обеспечения удаленной поддержки TeamViewer.

Компания считает, что злоумышленники повторно использовали учетные данные разработчика, полученные в результате предыдущих утечек данных, для доступа к учетной записи TeamViewer, и смогли установить вредоносное ПО с помощью VBScript с третьей попытки.

12 марта 2017 г. (4:00 по местному времени) — Используя первую машину, злоумышленники проникли на второй необслуживаемый компьютер, подключенный к той же сети, и открыли бэкдор через протокол Windows RDP (служба удаленного рабочего стола).

Используя доступ по протоколу RDP, злоумышленники сбросили двоичный файл и вредоносную полезную нагрузку — вредоносное ПО второго уровня (более старая версия), которое позже было доставлено 40 пользователям CCleaner — в реестр целевого компьютера.

14 марта 2017 г. — Злоумышленники также заразили первый компьютер более старой версией вредоносного ПО второго уровня.

4 апреля 2017 г. — Злоумышленники скомпилировали настроенную версию ShadowPad, печально известного бэкдора, который позволяет злоумышленникам загружать дополнительные вредоносные модули или красть данные, и эта полезная нагрузка, по мнению компании, была третьим этапом атаки CCleaner.

12 апреля 2017 г. — Несколько дней спустя злоумышленники установили полезную нагрузку 3-го уровня на четыре компьютера в сети Piriform (как библиотека mscoree.dll) и сервер сборки (как библиотека времени выполнения .NET).

С середины апреля по июль — В этот период злоумышленники подготовили вредоносную версию CCleaner и попытались проникнуть на другие компьютеры во внутренней сети, установив кейлоггер на уже скомпрометированных системах для кражи учетных данных и войдя в систему с правами администратора. привилегии через RDP.

18 июля 2017 г. — Компания по обеспечению безопасности Avast приобрела Piriform, британскую компанию по разработке программного обеспечения, которая стоит за CCleaner с более чем 2 миллиардами загрузок.

2 августа 2017 г. — Злоумышленники заменили исходную версию программного обеспечения CCleaner с официального сайта на свою версию CCleaner с резервной копией, которая была распространена среди миллионов пользователей.

13 сентября 2017 г. — Исследователи Cisco Talos обнаружили вредоносную версию программного обеспечения, которая распространялась через официальный веб-сайт компании более месяца, и немедленно уведомили Avast.

Вредоносная версия CCleaner содержала многоэтапную вредоносную нагрузку, предназначенную для кражи данных с зараженных компьютеров и их отправки обратно на управляемый злоумышленником сервер управления.

Хотя Avast с помощью ФБР смог выключить сервер управления злоумышленниками в течение трех дней после уведомления об инциденте, вредоносное программное обеспечение CCleaner уже было загружено 2,27 миллионами пользователей.

Кроме того, было обнаружено, что злоумышленники затем смогли установить полезную нагрузку второго уровня на 40 выбранных компьютерах, эксплуатируемых крупными международными технологическими компаниями, включая Google, Microsoft, Cisco, Intel, Samsung, Sony, HTC, Linksys, D- Link, Akamai и VMware.

Однако у компании нет доказательств того, была ли полезная нагрузка третьего этапа с ShadowPad распространена на какую-либо из этих целей.

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *