На заметку Малварь в CCleaner


virt

virt

Просветленный
Просветленный
Регистрация
24.11.2016
Сообщения
706
Репутация
228
Специалисты Cisco Talos
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
о неприятном инциденте, затрагивающем популярное приложение CCleaner, использующееся для оптимизации и «чистки» ОС семейства Windows. По данным исследователей, неизвестные злоумышленники скомпрометировали приложение еще 15 августа 2017 года, и вплоть до 12 сентября 2017 года вместе с CCleaner распространялась малварь Floxif.

Специалисты рассказывают, что изучая официальную версию CCleaner 5.33, они заметили, что приложение связывается с подозрительным доменом. Как оказалось, ответственен за это был вредонос Floxif, работающий лишь на 32-битных системах из-под учетной записи администратора. Малварь собирает все данные о зараженной машине (информацию о системе, запущенных процессах, MAC-адресах сетевых устройств и уникальные ID комплектующих), а затем передает их на удаленный сервер злоумышленников. При этом вредонос способен скачивать и запускать дополнительные бинарники, хотя по данным исследователей, ни один зараженный хост так и не подвергся второй фазе атаки, то есть Floxif не загружал дополнительные пейлоады на зараженные устройства.

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Схема работы малвари

Эксперты Cisco Talos полагают, что злоумышленники каким-то образом скомпрометировали цепочку поставок Avast, и использовали цифровой сертификат, чтобы подписать вредоносную версию CCleaner 5.33, подменив ею легитимный вариант. Исследователи не исключают, что в данном случае преступникам помогал инсайдер.

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

С сертификатом CCleaner 5.33, казалось бы, все хорошо

Разработчики CCleaner, компания Piriform, которую недавно приобрела Avast, уже подтвердили случившееся в
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. Они пишут, что заражению подверглись 32-битные варианты CCleaner 5.33.6162 и CCleaner Cloud 1.07.3191.

13 сентября 2017 года была выпущена версия CCleaner 5.34, а также обновление 1.07.3214 для CCleaner Cloud, которые не содержат вредоносного кода. Всем пользователям настоятельно рекомендуется обновиться как можно скорее, так как функции автообновления в CCleaner не предусмотрено.

Представители Avast сообщили, что зараженные Floxif версии CCleaner успели распространиться на 2,27 млн компьютеров (это лишь около 3% пользователей утилиты). Однако в компании полагают, что благодаря вышедшим апдейтам, которые «обезвредили» малварь, пользователи уже в безопасности.

Провериться на заражение можно достаточно просто: нужно найти в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo и проверить, содержатся ли там элементы MUID и TCID. Если да – это признак заражения Floxif.

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки


Оригинал:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
 
virt

virt

Просветленный
Просветленный
Регистрация
24.11.2016
Сообщения
706
Репутация
228
Исследователи безопасности из Avast Intelligence Team опубликовали новые данные о кампании по распространению инфицированной версии утилиты CCleaner. По словам исследователей, на сервере, где хранилась база данных о зараженных компьютерах, закончилось дисковое пространство и 12 сентября данные были удалены. То есть исследователи не могут получить доступ к полной информации о жертвах, а количество компьютеров, зараженных вторым бэкдором, может быть больше, чем предполагалось ранее.

В конце сентября нынешнего года специалисты Cisco обнаружили вредоносный код в популярной утилите CCleaner от компании Avast. Бэкдор позволял злоумышленникам загружать дополнительное вредоносное ПО, например, программы-вымогатели или кейлоггеры. По предварительным оценками Avast, скомпрометированная версия CCleaner была загружена 2,27 млн раз. Как позже выяснили исследователи, хакеры пытались атаковать крупнейшие технологические компании, включая Cisco, Singtel, HTC, Samsung, Sony, Gauselmann, Intel, VMWare, O2, Vodafone, Linksys, Epson, MSI, Akamai, DLink, Oracle (Dyn), Microsoft и Google (Gmail).

Исследователи связались с владельцем утилиты, который с помощью правоохранительных органов взял под контроль сервер злоумышленников. Согласно информации в журналах, сервер был запущен за несколько дней до того, как злоумышленники внедрили вредоносный код в CCleaner. Несмотря на то, что сервер работал больше месяца, в базе данных содержалась только информация о попытках инфицирования в промежутке с 12 сентября по 16 сентября.

После более глубокого анализа специалисты Avast обнаружили свидетельства того, что дисковое пространство на сервере было заполнено, и злоумышленникам пришлось удалить собранные данные, скорее всего скопировав их перед удалением. Это значит, что данные за 28 дней активности злоумышленников потеряны. В настоящее время определить точное число пострадавших компаний не представляется возможным.
CCleaner - утилита для очистки и оптимизации жесткого диска. По состоянию на ноябрь 2016 года она была загружена 2 млрд раз. Разработчиком утилиты является фирма Piriform, которую в 2017 году приобрела компания Avast Software.

Подробнее:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
 
Для ответа нужно войти/зарегистрироваться
Верх Низ