MKD-CIRT National Centre for Computer Incident Response
Ако во периодот од 15 август до 12 септември оваа година на вашиот компјутер сте ја презеле или обновиле апликацијата CCleaner од официјалната веб-страница, тогаш обрнете внимание – вашиот компјутер е компромитиран.
CCleaner е популарна апликација со над 2 милијарди преземања, создадени од Piriform – компанија која неодамна премина во сопственост на Avast. Оваа апликација им овозможува на корисниците да го исчистат својот компјутерски систем со цел оптимизирање на работата и подобрување на перформансите.
Истражувачите за безбедност од Cisco Talos откриле дека серверите за преземање кои ги користи Avast за да дозволат корисниците да ја преземат апликацијата биле компромитирани од страна на непознати хакери, кои ја замениле оригиналната верзија на софтверот со злонамерен и во период од околу еден месец го дистрибуирале до милиони корисници.
Овој инцидент е уште еден пример за напад на синџирот на снабдување. Претходно оваа година, серверите за ажурирање на украинската компанија MeDoc исто така беа компромитирани за да се дистрибуира Petya ransomware што предизвика хаос низ целиот свет.
Avast и Piriform потврдија дека погодени од малициозен софтвер беа погодени верзиите Windows CCleaner v5.33.6162 32-bit и CCleaner Cloud v1.07.3191.
Детектирана на 13 септември, злонамерната верзија на CCleaner содржи мулти-фазен товар за малициозен софтвер кој краде податоци од инфицирани компјутери и ги испраќа до далечински контролно-командни сервери на напаѓачот.
Покрај тоа, непознатите хакери ја потпишале извршната датотека на оваа апликација (верзија v5.33) користејќи валиден дигитален потпис издаден на Piriform од Symantec и користејќи алгоритам за генерирање на домен (DGA), со што ако серверот на напаѓачите не работи, DGA може да генерира нови домени за прием и испраќање на украдени информации.
Малициониот софтвер беше програмиран да собира голем број кориснички податоци, вклучувајќи:
– Име на компјутерот
– Листа на инсталиран софтвер, вклучувајќи Windows надградби
– Листа на сите активни процеси
– IP и MAC адреси
– Дополнителни информации како на пример дали процесот работи со администраторски привилегии и дали компромитираниот систем е 64-битен.
Како да го отстраните овој малвер од вашиот компјутер
Според истражувачите на Талос, околу 5 милиони луѓе ја преземаат CCleaner апликацијата секоја недела, што покажува дека повеќе од 20 милиони луѓе можеле да бидат заразени со малициозната верзија на апликацијата.
CCleaner тврди дека има повеќе од 2 милијарди преземања низ светот од ноември 2016 година и дека додава нови корисници со стапка од 5 милиони неделно.
Сепак, Piriform процени дека најмногу 3 проценти од корисниците (до 2,27 милиони компјутерски системи) биле погодени од малициозната инсталација.
На засегнатите корисници им се препорачува да ја обноват/ажурираат апликацијатар CCleaner на верзија 5.34 или повисоко, со цел да ги заштитат своите компјутери од компромитирање. Најновата верзија е достапна за преземање од оваа врска.
Извор: The Hacker News