Potrivit unei avertizări lansate recent de cercetătorii companiei Cisco Talos, unele dintre versiunile recente ale aplicației CCleaner, o aplicație bine-cunoscută ce este utilizată pentru mentenanța PC-urilor care rulează Windows, conțin malware care se instalează odată cu aplicația legitimă.
Versiunile afectate sunt CCleaner v5.33 și CCleaner Cloud v1.07.3191.
Descriere
Cercetătorii Cisco Talos au descoperit că pachetele de instalare ale CCleaner, deși compromise prin adăugarea de malware, fuseseră semnate cu certificate digitale valide, deținute de compania Piriform (între timp aplicația CCleaner a fost preluată de compania Avast). Acest fapt denotă faptul că, cel mai probabil, atacatorii au reușit să compromită securitatea mediului de dezvoltare al aplicației.
Malware-ul conținut de versiunile compromise ale CCleaner deține capabilități/funcționalități de DGA (Domain Generation Algorithm) și botnet (codul sursă conține adresa IP a unui server de comandă și control – C&C).
Perioada de răspândire a malware-ului este de aproximativ o lună, de la 15 August 2017 (publicarea versiunii compromise CCleaner v5.33) până la 12 Septembrie 2017 (publicarea versiunii sanitizate CCleaner v5.34).
Impact
Având în vedere gradul mare de popularitate al aplicației, descărcată de peste 2 miliarde de ori până în prezent și cu 5 milioane de noi utilizatori la fiecare săptămână, impactul potențial este semnificativ deoarece chiar și o mică fracțiune din aceste cifre, aferentă versiunilor afectate, reprezintă un număr foarte mare de potențiale sisteme infectate cu malware.
Deocamdată nu se cunoaște exact cum sunt exploatate sistemele infectate, însă faptul că acestea pot fi comandate de la distanță printr-un server de comandă și control (C&C) înseamnă că posibilitățile sunt practic nelimitate, de la atacuri DDoS până la exfiltrarea de date confidențiale.
Indicatori de compromitere
SHA256
6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9
1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff
36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9
Domenii web
ab6d54340c1a.com
aba9a949bc1d.com
ab2da3d400c20.com
ab3520430c23.com
ab1c403220c27.com
ab1abad1d0c2a.com
ab8cee60c2d.com
ab1145b758c30.com
ab890e964c34.com
ab3d685a0c37.com
ab70a139cc3a.com
IP
216.126.225.148
Remediere
CERT-RO sfătuiește toți utilizatorii aplicației CCleaner să verifice versiunea utilizată în prezent pentru a identifica dacă este cea compromisă (v5.33 sau Cloud v1.07.3191).
De asemenea, chiar dacă după verificarea versiunii instalate se constată că este una nouă (v5.34), este foarte important ca utilizatorii să determine dacă în ultima lună au instalat versiunea compromisă (v5.33) pentru că în această situație, chiar dacă între timp s-a efectuat un update la ultima versiune, sistemul a rămas infectat cu malware.
Toți utilizatorii care utilizează sau au utilizat la un moment dat o versiune compromisă de CCleaner sunt sfătuiți să revină la o copie de siguranță (backup) efectuată înainte de 15 August 2017, inclusiv prin utilizarea facilității „System Restore” din Windows, sau să reinstaleze sistemul de operare.
Referințe
http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html
https://exchange.xforce.ibmcloud.com/collection/CCleaner-Malware-b76e23a6710956bd0782d55976e748ae