Des hackers ont compromis le logiciel CCleaner en installant une porte dérobée cachée

CCleaner contenait une porte dérobée malveillante qui volait secrètement des informations des ordinateurs des utilisateurs

Des chercheurs de la société de sécurité, Cisco Talos, ont rapporté que CCleaner, un outil d’optimisation système distribué par la société antivirus Avast, a été piraté pour distribuer des logiciels malveillants directement à ses utilisateurs via une porte dérobée cachée. Le logiciel malveillant permet aux hackers d’accéder potentiellement à l’ordinateur de l’utilisateur et à d’autres systèmes connectés, afin de voler des données personnelles ou des identifiants.

CCleaner est un programme utilitaire populaire utilisé pour nettoyer les fichiers potentiellement indésirables (y compris les fichiers temporaires Internet, où les programmes et le code malveillants ont tendance à résider) et les entrées de registre Windows invalides d’un ordinateur. CCleaner a été développé par Piriform et a été récemment acquis par le fabricant d’antivirus basé à Prague, Avast, en juillet. CCleaner a plus de 2 milliards de téléchargements dans le monde et est téléchargé jusqu’à 5 millions de fois par semaine.

Selon les chercheurs de Cisco Talos, la version 32 bits de la v5.33.6162 de CCleaner et la v1.07.3191 de CCleaner Cloud contenaient une charge utile de logiciel malveillant multi-étapes qui a été intégrée à l’installation pendant la période entre le 15 août et le 12 septembre.

« Nous avons confirmé que cette version malveillante de CCleaner était hébergée directement sur le serveur de téléchargement de CCleaner aussi récemment que le 11 septembre 2017 », ont écrit les chercheurs.

Confirmant l’attaque, Paul Yung de Piriform a déclaré dans un communiqué : « Nous tenons à nous excuser pour un incident de sécurité que nous avons récemment découvert dans la version 5.33.6162 de CCleaner et la version 1.07.3191 de CCleaner Cloud. Une activité suspecte a été identifiée le 12 septembre 2017, où nous avons vu une adresse IP inconnue recevoir des données d’un logiciel trouvé dans la version 5.33.6162 de CCleaner et la version 1.07.3191 de CCleaner Cloud, sur des systèmes Windows 32 bits. Sur la base d’une analyse plus approfondie, nous avons découvert que la version 5.33.6162 de CCleaner et la version 1.07.3191 de CCleaner Cloud avaient été modifiées illégalement avant d’être publiées au public. »

Cependant, les versions Mac et Android de CCleaner ne semblent pas avoir été affectées.

Bien que Piriform ait estimé que 2,27 millions de personnes utilisaient le logiciel infecté, 5 000 installations de CCleaner Cloud avaient reçu la mise à jour malveillante de ce logiciel.

« Nous avons résolu cela rapidement et croyons qu’aucun dommage n’a été causé à nos utilisateurs », a déclaré la société dans un communiqué.

La société a également ajouté que le serveur malveillant est hors ligne et que d’autres serveurs potentiels sont hors du contrôle de l’attaquant.

« Les attaques de la chaîne d’approvisionnement sont un moyen très efficace de distribuer des logiciels malveillants dans des organisations cibles », a expliqué le groupe de renseignement sur les menaces de Cisco, Talos, dans un blog sur le piratage.

« Cela est dû au fait qu’avec les attaques de la chaîne d’approvisionnement, les attaquants s’appuient sur la relation de confiance entre un fabricant ou un fournisseur et un client. Cette relation de confiance est ensuite abusée pour attaquer des organisations et des individus et peut être réalisée pour un certain nombre de raisons différentes. »

Le blog de Talos note que la nature du code d’attaque suggère que le piratage pourrait avoir été un travail interne, car le hacker a obtenu l’accès à une machine utilisée pour créer CCleaner.

« À ce stade, nous ne voulons pas spéculer sur la façon dont le code non autorisé est apparu dans le logiciel CCleaner, d’où l’attaque provient, combien de temps elle a été préparée et qui se cache derrière. L’enquête est toujours en cours », a déclaré Yung de Piriform.

Piriform a conseillé aux utilisateurs qui ont installé CCleaner v5.33.6162 ou CCleaner Cloud v1.07.3191 sur leur système de les supprimer et de mettre à jour leur logiciel CCleaner vers la version 5.34 ou supérieure. La dernière version peut être téléchargée ici.

Lire aussi - Meilleur nettoyeur de registre pour PC Windows 10

« Nous continuons d’enquêter sur la façon dont cette compromission s’est produite, qui l’a faite et pourquoi », a déclaré Piriform. « Nous nous excusons et prenons des mesures supplémentaires pour garantir que cela ne se reproduise pas. Nous travaillons avec les forces de l’ordre américaines dans leur enquête.