Компрометований CCleaner: краще перевірити свій ПК

• Категорія: Безпека

Спробуйте Наш Інструмент Для Усунення Проблем

Виберіть Операційну Систему Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Виберіть Програму Проекції (Необов'Язково) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Опишіть Свою Проблему

Отримати Відповідь

Надіслати Мене Електронною Поштою Показати На Сайті

Piriform, виробники популярного очищувача файлів CCleaner, підтвердили в понеділок 18 лютого 2017 року, що хакерам вдалося успішно атакувати комп’ютерну мережу компанії.

Хакери розгромили дві версії CCleaner в атаці, які використовували до 3% бази користувачів компанії.

Постраждалі версії - CCleaner 5.33.6162 та CCleaner Cloud 1.07.3191. За словами Piriform, лише 32-бітні версії додатків були порушені та розповсюджені за допомогою власної інфраструктури компанії.

Компанія просить користувачів оновити свою версію програми до останньої доступної версії, якщо цього ще не було зроблено. Остання версія релізу CCleaner - це версія 5.34 на момент написання.

• CCleaner 5.33.6162 вийшов 15 серпня 2017 року, а оновлена ​​неконтрольована версія була випущена 12 вересня 2017 року.
• CCleaner Cloud 1.07.3191 вийшов 24 серпня 2017 року, а некомпрометована версія програми - 15 вересня 2017 року.

Дослідники з безпеки групи Talos Group Cisco виявлено подробиці про успішну атаку ланцюга поставок. Talos Group поінформувала Avast, головну компанію Piriform, про ситуацію.

Під час тестів нового інструменту виявлення експлуатації компанії, який надійшов від інсталятора CCleaner 5.33, Talos Group «визначив конкретний виконуваний файл», який, в свою чергу, був доставлений законними серверами завантаження CCleaner.

Виконаний файл для завантаження був підписаний дійсним підписом Piriform. Інсталятор містив 'зловмисну ​​корисну навантаження, яка містила алгоритм генерації домену', а також функцію 'Кодування та управління' з твердим кодом.

Дослідники Talos дійшли висновку, що зловмисне навантаження було розповсюджене між випуском версії 5.33 15 серпня 2017 року та випуском версії 5.34 12 вересня 2017 року.

Дослідники вважають, що ймовірно, що 'зовнішній зловмисник скомпрометував частину' середовища розробки та побудови Piriform і використовував доступ для вставки зловмисного програмного забезпечення в збірку CCleaner. Інший варіант, який дослідники вважають, полягає в тому, щоб інсайдер включав шкідливий код.

Користувачі CCleaner, які хочуть переконатися, що компрометована версія все ще не знаходиться в їхній системі, можливо, захочуть сканувати її Вірустотальний або скануйте його за допомогою ClamAV, оскільки це єдине антивірусне програмне забезпечення, яке зараз виявляє загрозу.

Ви можете завантажити безкоштовно ClamAV з цього веб-сайту.

Зловмисне корисне навантаження створює ключ реєстру HKLM SOFTWARE Piriform Agomo: і використовує його для зберігання різної інформації.

Піріформ виданий заява 18 вересня 2017 року. Відповідно до цього твердження, нечутливі дані можуть бути передані серверу в Сполучених Штатах Америки.

Компроміс може спричинити передачу нечутливих даних (ім'я комп'ютера, IP-адреса, список встановленого програмного забезпечення, список активного програмного забезпечення, список мережевих адаптерів) на сторонній комп'ютерний сервер у США. У нас немає жодних ознак того, що будь-які інші дані були надіслані на сервер.

Пол Юнг, ВП продуктів компанії, опубліковано технічна оцінка нападу на блог компанії.

Єдина пропозиція Piriform - це оновити до останньої версії.

Заключні слова

Компрометовані версії CCleaner та CCleaner Cloud розповсюджувалися майже місяць. Маючи понад 20 мільйонів завантажень на місяць та оновлень, це велика кількість ПК, які вплинули на це.