zniszczony monitor kineskopowy
25

CCleaner rozsiewał malware. Tak, to ten, którego przejął niedawno Avast

Do kuriozalnej sytuacji doszło z programem CCleaner, popularnego pakietu służącego głównie do walki ze złośliwym oprogramowaniem. Informacje pochodzące z Cisco Talos wskazują na to, iż między 15 sierpnia, a 12 września w oficjalnych kanałach dystrybucyjnych była dostępna złośliwa wersja programu, która odpowiedzialna była za rozprzestrzenienie Floxif, który miał pobierać inne niebezpieczne programy.

Co ciekawe, do sytuacji doszło na miesiąc po tym, jak Avast przejął firmę Piriform odpowiedzialną za tworzenie oraz dystrybucję popularnego narzędzia CCleaner. W przypadku tej aplikacji nie doszło jednak do podmienienia instalatora w zewnętrznej stronie oferującej dostęp do programu. Okazuje się, że również wersja znajdująca się na oficjalnej witrynie CCleanera zawierała w sobie kod Floxif. Cisco Talos wskazuje na to, że prawdopodobnie doszło do ataku na mechanizmy dystrybucyjne nowej wersji programu przez co hakerom udało się zamienić wolny od programów szpiegujących instalator na ten, który zawiera w sobie złośliwy dodatek. Niesamowicie kontrowersyjnym jest fakt, iż pliki instalacyjne były podpisane prawidłowym cyfrowym certyfikatem – podobnie jak wszystkie inne wersje CCleanera.

Floxif to narzędzie, które służy do pobierania innych niebezpiecznych programów. Mechanizm zbiera informacje na temat zainfekowanych systemów i przesyła je dalej do serwera zarządzającego. W tym momencie nie ma żadnych dowodów, które świadczyłyby o tym, iż Floxif zawarty w instalatorze CCleanera był w stanie ściągnąć z internetu inne niebezpieczne programy jednak nie jest to całkowicie wykluczane. Po zainstalowaniu na komputerze, Floxif gromadził takie informacje jak: nazwa komputera, lista zainstalowanych programów, lista uruchomionych procesów, adresy MAC dla pierwszych trzech interfejsów sieciowych oraz kilka innych unikalnych informacji pozwalających na łatwe zidentyfikowanie maszyny w sieci. Co ciekawe, Floxif był w stanie działać tylko na 32-bitowych systemach operacyjnych i dodatkowo, gdy użytkownik nie korzystał z konta administratora, jego działanie było przerywane.

ccleaner floxif

Mimo ograniczeń Floxif, zaatakowanych zostało tysiące komputerów

Analizując zapytania DNS dla domen wykorzystanych w sierpniu oraz wrześniu przez Floxif udało się odkryć, iż poprawnie udało się zaatakować co najmniej kilka tysięcy urządzeń na całym świecie. Tego typu infekcji mogło być znacznie więcej, jeśli Floxif byłby w stanie działać na 64-bitowych maszynach i dodatkowo, nie przeszkadzałby mu brak uprawnień administratora. Z punktu widzenia takich informacji atak nie wygląda na szczególnie poważny, ale należy brać pod uwagę, że dotyczy on firmy zajmującej się cyberbezpieczeństwem. Dlatego też, należy sobie zadać pytanie, w jaki dokładnie sposób doszło do tej infekcji i gdzie leży wina za rozprzestrzenienie Floxif za pomocą CCleanera.

Jeżeli na Waszych komputerach instalowaliście ostatnio CCleanera, musicie wiedzieć, że wersje 5.33.6162 są dotknięte złośliwym oprogramowaniem. Dodatkowo, pakiet CCleaner Cloud w wersji 1.07.3191 również zawiera w sobie niebezpieczny kod. Piriform 13 września opublikował nowe wersje tych programów, już wolne od cyberzagrożenia.

A może infekcja nie była przypadkowa?

Trudno sobie wyobrazić sytuację, w której naprawdę duża i szanowana firma (Avast) dopuszcza się instalowania złośliwego oprogramowania na komputerach swoich klientów. Eksperci wskazują, że raczej nie mamy do czynienia z intencjonalnym zarażaniem urządzeń przez CCleaner. Jednak pozostaje jeszcze pytanie o zabezpieczenia wewnątrz Piriform odpowiedzialnego za pakiet bezpieczeństwa. Nie wiadomo obecnie, w jaki sposób doszło do podmienienia prawidłowej wersji oprogramowania na tą, która zawierała złośliwy kod.