CCleaner обнаружен с внедрением вредоносного ПО, которое крадет данные пользователей

CCleaner, безусловно, является одним из самых популярных инструментов для удаления временных файлов и других ненужных файлов, которые накапливаются на вашем ПК и смартфоне. CCleaner используется миллионами пользователей интернета (включая меня) для удаления куки и проведения очистки. Однако, помимо чистого интерфейса и мощных функций, у CCleaner, похоже, есть и темная сторона.

Большинство из нас периодически используют CCleaner, так как это улучшает производительность ПК, однако в недавнем повороте событий CCleaner обвиняется во внедрении вредоносного ПО в системы. Этот инструмент стал частью “инцидента безопасности”, в рамках которого пользователи получили обновленную цифровую версию программного обеспечения, которая в конечном итоге открыла вредоносную заднюю дверь.

Уведомления о безопасности дополнительно информировали, что обе версии CCleaner v5.33.6162 и CCleaner Cloud v1.07.3191 были скомпрометированы. Как только вредоносное ПО было загружено, оно ожидало пять минут, прежде чем проверить, есть ли у пользователя права администратора. На следующем этапе вредоносное ПО украло информацию с компьютера, включая список установленного программного обеспечения, обновления Windows, MAC-адреса сетевых адаптеров и другие уникальные идентификаторы машины. Все эти данные затем были отправлены на сервер, расположенный в США.

Проблема была впервые выявлена исследователями Cisco Talos, и установщик CCleaner v5.3 оказался виновником. Однако, в отличие от большинства других компрометаций установщиков, этот имел действительный цифровой сертификат, подписанный Piriform. Это указывает на возможные нарушения как на организационном уровне, так и на уровне отдельных лиц.

Наличие действительной цифровой подписи на вредоносном бинарном файле CCleaner может указывать на более серьезную проблему, которая привела к компрометации частей процесса разработки или подписания. В идеале этот сертификат должен быть отозван и признан недоверенным в будущем. При создании нового сертификата необходимо убедиться, что у злоумышленников нет доступа к среде, с которой можно скомпрометировать новый сертификат. Только процесс реагирования на инциденты может предоставить детали о масштабе этой проблемы и о том, как лучше всего ее решить. Cisco Talos

Скорее всего, внешний злоумышленник смог скомпрометировать среду сборки, и это попало в производство. Не нужно говорить, что злоумышленник мог использовать эту заднюю дверь для заражения миллионов компьютеров вредоносным ПО. Это также указывает на кого-то изнутри, кто имел доступ к разработке или организации сборки. Piriform удалил затронутые версии с сервера загрузки.

С учетом сказанного, если вы используете CCleaner 5.33, рекомендуется обновиться до 5.34 как можно скорее, а пользователям бесплатной версии CCleaner необходимо выполнить ручное обновление, так как сборка не предлагает автоматические обновления. Также рекомендуется просканировать систему с помощью антивирусного программного обеспечения.