Piriform, skaperne av den populære file cleaner CCleaner, bekreftet mandag 18., 2017 at hackere klarte å angripe selskapets datamaskin-nettverk vellykket.
Hackere kompromittert to versjoner av CCleaner i angrepet som har blitt brukt av opp til 3% av selskapets kundemasse.
De berørte versjoner er CCleaner 5.33.6162 og CCleaner Cloud 1.07.3191. I henhold til Piriform, bare 32-biters versjoner av programmene var kompromittert og distribuert ved hjelp av selskapets egen infrastruktur.
Selskapet ber brukere til å oppdatere sin versjon av programmet til den nyeste utgivelsen hvis det ikke har blitt gjort allerede. Den nyeste versjonen av CCleaner er versjon 5.34 i skrivende stund.
- CCleaner 5.33.6162 ble utgitt 15. August 2017, og en oppdatert non-kompromittert versjon ble utgitt på September 12, 2017.
- CCleaner Cloud 1.07.3191 ble utgitt i August 24th, 2017, og en ikke-utsatt versjon av programmet on September 15th, 2017.
Sikkerhetsforskere av Ciscos Talos Gruppen avslørte detaljer om vellykket supply chain angrep. Talos Gruppe informert Avast, morselskapet til Piriform, om situasjonen.
Talos Gruppe”identifisert en bestemt kjørbare” under tester av selskapets nye exploit detection tool som kom fra CCleaner 5.33 installer som i sin tur ble levert av legitime laste ned CCleaner servere.
Last ned kjørbare ble signert med en gyldig Piriform signatur. Installasjonsprogrammet inneholdt en “ondsinnet nyttelast som inneholdt et Domene Generasjon Algoritme” så vel som “faste Kommando og Kontroll” – funksjonalitet.
Den Talos forskerne konkluderte med at den skadelige nyttelast var fordelt mellom utgivelsen av versjon 5.33 15. August 2017 og utgivelsen av versjon 5.34 on September 12th, 2017.
Forskerne tror det er sannsynlig at “en ekstern angriper kompromittert en del” av Piriform utvikling eller bygge miljø, og brukes tilgang til å sette inn malware inn CCleaner bygge. Et annet alternativ som forskerne mener er at en insider følger den ondsinnede koden.
Les også: MBRFilter beskytter Master Boot Record mot manipulering
CCleaner brukere som ønsker å sørge for at den kompromitterte versjonen er fortsatt ikke på deres system kan være lurt å skanne det på Virustotal, eller skann det med ClamAV, som det bare antivirusprogram som oppdager trusselen akkurat nå.
Du kan laste ned gratis ClamAV fra dette nettstedet.
Den ondsinnede nyttelast skaper registernøkkelen HKLMSOFTWAREPiriformAgomo: og brukt det til å lagre diverse informasjon.
Piriform utstedt en uttalelse den 18. September 2017. I henhold til denne erklæringen, ikke-sensitive data kan ha blitt overført til en server i Usa.
Kompromisset som kan føre til overføring av ikke-sensitive data (datamaskin navn, IP-adresse, en liste av installert programvare, liste over aktive programvare, liste over nettverkskort) til en 3. part datamaskin server i USA. Vi har ingen indikasjoner på at noen andre data er blitt sendt til serveren.
Paul Yung, bedriftens VP av produkter, publisert en teknisk vurdering av angrepet på selskapets blogg også.
Den eneste antydningen om at Piriform har er å oppdatere til den nyeste versjonen.
Avsluttende Ord
Den kompromitterte versjoner av CCleaner og CCleaner Cloud ble distribuert i nesten en måned. Med over 20 millioner nedlastinger per måned, og oppdateringer, som er et høyt antall Pc-er som har blitt berørt av dette.