CCleaner wurde dabei entdeckt, Malware einzuschleusen, die Benutzerdaten stiehlt

CCleaner ist arguably eines der beliebtesten Tools, wenn es darum geht, temporäre Dateien und andere Müll-Dateien, die sich auf Ihrem PC und Smartphone ansammeln, loszuwerden. CCleaner wird von Millionen von Internetnutzern (einschließlich mir selbst) verwendet, um Cookies zu entfernen und eine Bereinigung durchzuführen. Allerdings hat CCleaner neben der sauberen Benutzeroberfläche und den leistungsstarken Funktionen anscheinend auch eine dunkle Seite.

Die meisten von uns verwenden CCleaner regelmäßig, da es die PC-Leistung steigert. In einer aktuellen Wendung der Ereignisse wird CCleaner jedoch beschuldigt, Malware in die Systeme einzuschleusen. Das Tool war Teil eines “Sicherheitsvorfalls”, bei dem die Benutzer mit einer digital signierten Version der Software aktualisiert wurden, die schließlich eine bösartige Hintertür öffnete.

Die Sicherheitsbenachrichtigungen informierten weiter, dass sowohl CCleaner v5.33.6162 als auch CCleaner Cloud v1.07.3191 kompromittiert waren. Sobald es heruntergeladen wurde, wartete die Malware fünf Minuten, bevor sie überprüfte, ob der Benutzer über Administratorrechte verfügte. Im nächsten Schritt stahl die Malware Informationen vom Computer, einschließlich der Liste der installierten Software, Windows-Updates, MAC-Adressen von Netzwerkadaptern und anderen verwandten einzigartigen Maschinenidentitäten. Alle diese Daten wurden dann an einen in den USA ansässigen Server gesendet.

Das Problem wurde erstmals von Forschern bei Cisco Talos aufgedeckt, und der Installer für CCleaner v5.3 war der Übeltäter. Allerdings kam dieser, im Gegensatz zu den meisten anderen Installer-Kompromittierungen, mit einem gültigen digitalen Zertifikat, das von Piriform signiert wurde. Dies deutet unbeabsichtigt auf ein Fehlverhalten auf organisatorischer oder vielleicht individueller Ebene hin.

Die Anwesenheit einer gültigen digitalen Signatur auf der bösartigen CCleaner-Binärdatei könnte auf ein größeres Problem hindeuten, das dazu führte, dass Teile des Entwicklungs- oder Signierungsprozesses kompromittiert wurden. Idealerweise sollte dieses Zertifikat widerrufen und in Zukunft als nicht vertrauenswürdig eingestuft werden. Bei der Erstellung eines neuen Zertifikats muss darauf geachtet werden, dass Angreifer keinen Fuß in der Umgebung haben, um das neue Zertifikat zu kompromittieren. Nur der Vorfallreaktionsprozess kann Details zum Umfang dieses Problems und zur besten Vorgehensweise liefern. Cisco Talos

Es ist sehr wahrscheinlich, dass ein externer Angreifer erfolgreich die Build-Umgebung kompromittiert hat und dass dies in die Produktion gelangte. Es versteht sich von selbst, dass der Angreifer diese Hintertür nutzen könnte, um Millionen von Computern mit der Malware zu infizieren. Dies deutet auch auf jemanden von innen hin, der Zugang zur Entwicklungs- oder Build-Organisation hatte. Piriform hat die betroffenen Versionen vom Download-Server entfernt.

Das gesagt, wenn Sie CCleaner 5.33 verwenden, ist es ratsam, so schnell wie möglich auf 5.34 zu aktualisieren, und Benutzer der kostenlosen Edition von CCleaner müssen ein manuelles Update durchführen, da der Build keine automatischen Updates anbietet. Und scannen Sie auch das System mit einer Antimalware-Software.