CCleaner a été trouvé en train d'injecter des logiciels malveillants qui volent des données utilisateur

CCleaner est sans doute l’un des outils les plus populaires lorsqu’il s’agit de se débarrasser des fichiers temporaires et des autres fichiers indésirables qui s’accumulent sur votre PC et votre smartphone. CCleaner est utilisé par des millions d’utilisateurs d’internet (y compris moi-même) afin de supprimer les cookies et d’effectuer un nettoyage. Cependant, en plus de l’interface propre et des fonctionnalités puissantes, CCleaner a apparemment aussi un côté sombre.

La plupart d’entre nous utilisent CCleaner périodiquement car cela améliorerait les performances du PC, cependant, dans un tournant récent des événements, CCleaner est accusé d’injecter des logiciels malveillants dans les systèmes. L’outil faisait partie d’un “incident de sécurité” où les utilisateurs ont été mis à jour avec une version du logiciel signée numériquement qui a finalement ouvert une porte dérobée malveillante.

Les notifications de sécurité ont en outre informé que CCleaner v5.33.6162 et CCleaner Cloud v1.07.3191 avaient été compromis. Une fois déchargé, le logiciel malveillant attendait cinq minutes avant de vérifier si l’utilisateur avait des privilèges administratifs. Dans l’étape suivante, le logiciel malveillant volait des informations de l’ordinateur, y compris la liste des logiciels installés, les mises à jour de Windows, les adresses MAC des adaptateurs réseau et d’autres identités de machine uniques connexes. Toutes ces données étaient ensuite envoyées à un serveur basé aux États-Unis.

Le problème a été d’abord découvert par des chercheurs de Cisco Talos et l’installateur de CCleaner v5.3 était le coupable. Cependant, contrairement à la plupart des autres compromissions d’installateurs, celle-ci était accompagnée d’un certificat numérique valide signé par Piriform. C’est quelque chose qui pointe involontairement vers un jeu déloyal à un niveau organisationnel ou peut-être individuel.

La présence d’une signature numérique valide sur le binaire CCleaner malveillant peut indiquer un problème plus large qui a entraîné la compromission de certaines parties du processus de développement ou de signature. Idéalement, ce certificat devrait être révoqué et considéré comme non fiable à l’avenir. Lors de la génération d’un nouveau certificat, il faut veiller à ce que les attaquants n’aient aucun point d’ancrage dans l’environnement avec lequel compromettre le nouveau certificat. Seul le processus de réponse à l’incident peut fournir des détails concernant l’ampleur de ce problème et comment y remédier au mieux. Cisco Talos

Il est très probable qu’un attaquant externe ait réussi à compromettre l’environnement de construction et que cela ait été transféré à la production. Inutile de dire que l’attaquant pourrait utiliser cette porte dérobée pour infecter des millions d’ordinateurs avec le logiciel malveillant. Cela pointe également du doigt quelqu’un de l’intérieur qui avait accès au développement ou à l’organisation de construction. Piriform a retiré les versions affectées du serveur de téléchargement.

Cela dit, si vous utilisez CCleaner 5.33, il est conseillé de mettre à jour vers la version 5.34 dès que possible et les utilisateurs de l’édition gratuite de CCleaner doivent effectuer une mise à jour manuelle car la version ne propose pas de mises à jour automatiques. Et aussi, analysez le système avec un logiciel anti-malware.