CCleanerがユーザーデータを盗むマルウェアを注入していることが判明

CCleanerは、PCやスマートフォンに蓄積される一時ファイルやその他のゴミファイルを取り除くための最も人気のあるツールの1つと言えるでしょう。CCleanerは、クッキーを削除し、クリーンアップを行うために、私自身を含む何百万ものインターネットユーザーによって使用されています。しかし、クリーンなインターフェースと強力な機能の他に、CCleanerには明らかに暗い側面もあります。

私たちの多くは、PCのパフォーマンスを向上させるために定期的にCCleanerを使用していますが、最近の出来事では、CCleanerがシステムにマルウェアを注入していると非難されています。このツールは「セキュリティインシデント」の一部であり、ユーザーは最終的に悪意のあるバックドアを開くデジタル署名されたバージョンのソフトウェアに更新されました。

セキュリティ通知は、CCleaner v5.33.6162とCCleaner Cloud v1.07.3191の両方が侵害されたことをさらに通知しました。一度オフロードされると、マルウェアはユーザーに管理者権限があるかどうかを確認する前に5分間待機します。次のステップでは、マルウェアはコンピュータからインストールされたソフトウェアのリスト、Windowsの更新、ネットワークアダプタのMACアドレス、およびその他の関連するユニークなマシンIDを含む情報を盗みました。これらのデータはすべて、米国のサーバーに送信されました。

この問題は最初にCisco Talosの研究者によって発見され、CCleaner v5.3のインストーラーが原因でした。しかし、他の多くのインストーラーの侵害とは異なり、これはPiriformによって署名された有効なデジタル証明書を伴っていました。これは、組織レベルまたは個人レベルでの不正行為を指摘するものです。

悪意のあるCCleanerバイナリに有効なデジタル署名が存在することは、開発または署名プロセスの一部が侵害された結果として、より大きな問題を示唆している可能性があります。理想的には、この証明書は取り消され、今後は信頼されないものとすべきです。新しい証明書を生成する際には、攻撃者が新しい証明書を侵害するための足場を持たないことを確認するために注意が必要です。この問題の範囲と最適な対処方法についての詳細は、インシデントレスポンスプロセスのみが提供できます。Cisco Talos

外部の攻撃者がビルド環境を侵害することに成功し、それが本番環境にまで達した可能性が非常に高いです。言うまでもなく、攻撃者はこのバックドアを利用して何百万台ものコンピュータにマルウェアを感染させることができました。これはまた、開発またはビルド組織にアクセスできる内部の誰かを指摘しています。Piriformは影響を受けたバージョンをダウンロードサーバーから削除しました。

そのため、CCleaner 5.33を実行している場合は、できるだけ早く5.34に更新することをお勧めします。また、CCleanerの無料版のユーザーは、自動更新を提供しないビルドのため、手動で更新を実行する必要があります。そして、システムをアンチマルウェアソフトウェアでスキャンしてください。