19/9/17

To CCleaner μόλυνε 2.3 εκατομμύρια χρήστες!


Τι συνέβη?

Ένα άγνωστο γκρουπ ανθρώπων κατέλαβαν σιωπηλά τις δομές του δημοφιλούς CCleaner. 

Οι επιτιθέμενοι "πρόσθεσαν" malware στις 32μπιτες εκδόσεις  του CCleaner 5.33.6162 και του CCleaner Cloud 1.07.3191.

Τα αρχεία ήταν διαθέσιμα από το site του CCleaner (το οποίο έχει αγοραστεί από την Avast) από τις 15 Αυγούστου ως και τις 12 Σεπτεμβρίου. 


Ποιούς αφορά?

Όλοι όσοι κατέβασαν και εγκατέστησαν τις μολυσμένες εκδόσεις στο προαναφερθέν χρονικό διάστημα, έχουν μολυνθεί.

Η Avast υπολογίζει ότι ο αριθμός των μολύνσεων ξεπερνά τα 2.27 εκαταμμύρια.


Πώς θα ξέρω αν μολύνθηκα?


Όταν μία μολυσμένη έκδοση των CCleaner εγκατασταθεί, θα δημιουργήσει ένα κλειδί στη Registry και συγκεκριμένα στη θέση
HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo
Κάτω από αυτό το κλειδί θα υπάρχουν δύο καταχωρίσεις με την ονομασία MUID και TCID, τις οποίες χρησιμοποιεί η επιμόλυνση.

Αν αυτή η καταχώρηση υπάρχει, έχετε μολυνθεί.

Να σημειωθεί ότι η αναβάθμιση στην επόμενη έκδοση (5.34) ΔΕΝ αφαιρεί το κλειδί αυτό από τη Registry. Θα αντικαταστήσει απλώς τα κακόβουλα εκτελέσιμα έτσι ώστε το malware να μην είναι ενεργό.



Τι κάνει αυτό το malware?

To malware αυτό - το οποίο ονομάζεται Floxif - συλλέγει δεδομένα από τους μολυσμένους υπολογιστές, όπως το όνομα του Η/Υ, μία λίστα με τις ενεργές διαδικασίες, τις διευθύνσεις MAC για τις 3 πρώτες συσκευές του δικτύου και μοναδικά ID για κάθε συσκευή έτσι ώστε να μπορεί να εντοπιστεί. Επιπλέον, δυνητικά μπορεί να υποκλέψει τραπεζικά στοιχεία και κωδικούς πρόσβασης.

Τέλος, υπάρχει ενσωματωμένη λειτουργία μέσω της οποίας το malware μπορεί να κατεβάσει και να εκτελέσει άλλα malware, όμως η Avast δήλωσε ότι δεν βρήκε στοιχεία ότι οι επιτιθέμενοι χρησιμοποίησαν αυτό το ... 'feature'...


Έχω μολυνθεί, πώς το απομακρύνω?

To malware είναι ενσωματωμένο στο εκτελέσιμο αρχείο της εγκατάστασης του CCleaner. Αναβάθμιση στην επόμενη έκδοση, 5.34, αποκαμκρύνει τα παλιά, μολυσμένα εκτελέσιμα και το malware. Το CCleaner ΔΕΝ έχει επιλογή αυτόματης αναβάθμισης στις επόμενες εκδόσεις (Auto Update), οπότε θα πρέπει να κατεβάσετε και να εγκαταστήσετε την έκδοση 5.34 χειροκίνητα.

Η Avast δήλωσε ότι όσοι έχουν την έκδοση Cloud, έχουν ήδη λάβει την επόμενη έκδοση και θα είναι ένταξει. Η "καλή" έκδοση του Cloud είναι η 1.07.3214.


Και κάτι ακόμα

Το malware εκτελείται μόνο αν ο χρήστης έχει δικαιώματα διαχειριστή. Αν στον υπολογιστή έχετε δικαιώματα χρήστη, δεν έχετε επιμολυνθεί.
Πάντως, αν χρησιμοποιείτε πχ. Windows 7 Home Premium, τότε ο κύριος λογαριασμός είναι διαχειριστή και έχετε επιμολυνθεί αν έχετε εγκαταστήσει την συγκεκριμένη έκδοση του CCleaner.


Γιατί το Antivirus μου δεν εντόπισε κάτι?

Το αρχείο εγκατάστασης του μολυσμένου CCleaner είχε υπογραφή από έγκυρη ψηφιακή πιστοποίηση.


Τι σκοπούς είχαν?

Δεν μπορεί κανείς να είναι σίγουρος, όμως πολλοί θεωρούν ότι μοιάζει με την περίπτωση της διασποράς του NotPetya Ransomware και πιθανώς ήθελαν να διασπείρουν Ransomware με παρόμοιο τρόπο όπως με τον NotPetya που είχε μολύνει το M.E.Doc.

Η Avast, πάντως, σε σημερινή της ανακοίνωση, προσπαθώντας να προστατέψει τη φήμη της, δήλωσε ότι ο αριθμός των επιμολύνσεων έπεσε από 2.27 εκατομμύρια στις 730.000 και πως η επίθεση και κατάληψη των υποδομών της Piriform (κατασκευάστριας του CCleaner) από τους χάκερς έγινε πριν την εξαγορά της Piriform από την Avast.