Хакеры скомпрометировали программное обеспечение CCleaner, установив скрытую заднюю дверь

CCleaner содержал вредоносную заднюю дверь, которая тайно крала информацию с компьютеров пользователей

Исследователи из компании безопасности Cisco Talos сообщили, что CCleaner, инструмент оптимизации системы, распространяемый антивирусной компанией Avast, был взломан для распространения вредоносного ПО непосредственно среди своих пользователей через скрытую заднюю дверь. Вредоносное ПО позволяет хакерам потенциально получить доступ к компьютеру пользователя и другим подключенным системам, чтобы украсть личные данные или учетные данные.

CCleaner — это популярная утилита, используемая для очистки потенциально нежелательных файлов (включая временные интернет-файлы, где обычно находятся вредоносные программы и код) и недействительных записей реестра Windows с компьютера. CCleaner был разработан компанией Piriform и недавно был приобретен основанной в Праге антивирусной компанией Avast в июле. CCleaner имеет более 2 миллиардов загрузок по всему миру и загружается до 5 миллионов раз в неделю.

Согласно исследователям Cisco Talos, 32-битная версия v5.33.6162 CCleaner и v1.07.3191 CCleaner Cloud содержали многослойный вредоносный код, который был добавлен во время установки в период с 15 августа по 12 сентября.

«Мы подтвердили, что эта вредоносная версия CCleaner размещалась непосредственно на сервере загрузки CCleaner еще 11 сентября 2017 года», — написали исследователи.

Подтверждая атаку, Пол Юнг из Piriform заявил в своем заявлении: «Мы хотели бы извиниться за инцидент с безопасностью, который мы недавно обнаружили в версии CCleaner 5.33.6162 и версии CCleaner Cloud 1.07.3191. Подозрительная активность была выявлена 12 сентября 2017 года, когда мы увидели, что неизвестный IP-адрес получает данные из программного обеспечения, найденного в версии CCleaner 5.33.6162 и версии CCleaner Cloud 1.07.3191 на 32-битных системах Windows. На основе дальнейшего анализа мы обнаружили, что версия CCleaner 5.33.6162 и версия CCleaner Cloud 1.07.3191 были незаконно изменены до их выпуска для общественности».

Тем не менее, версии CCleaner для Mac и Android, похоже, не пострадали.

Хотя Piriform оценил, что 2,27 миллиона человек использовали зараженное программное обеспечение, 5 000 установок CCleaner Cloud получили вредоносное обновление этого программного обеспечения.

«Мы быстро решили эту проблему и считаем, что никакого вреда нашим пользователям не было причинено», — заявила компания в своем заявлении.

Компания также добавила, что злонамеренный сервер отключен, и другие потенциальные серверы находятся вне контроля злоумышленника.

«Атаки на цепочку поставок являются очень эффективным способом распространения вредоносного программного обеспечения в целевых организациях», — объяснила группа по анализу угроз Cisco, Talos, в блоге о взломе.

«Это связано с тем, что при атаках на цепочку поставок злоумышленники полагаются на доверительные отношения между производителем или поставщиком и клиентом. Эти доверительные отношения затем используются для атак на организации и отдельных лиц и могут осуществляться по ряду различных причин».

Блог Talos отмечает, что характер кода атаки предполагает, что взлом мог быть внутренним делом, так как хакер получил доступ к машине, используемой для создания CCleaner.

«На данном этапе мы не хотим спекулировать о том, как несанкционированный код появился в программном обеспечении CCleaner, откуда произошла атака, как долго она готовилась и кто стоял за ней. Расследование все еще продолжается», — сказал Юнг из Piriform.

Piriform посоветовал пользователям, установившим CCleaner v5.33.6162 или CCleaner Cloud v1.07.3191 на свои системы, удалить их и обновить свое программное обеспечение CCleaner до версии 5.34 или выше. Последнюю версию можно скачать здесь.

Также читайте - Лучший очиститель реестра для Windows 10 ПК

«Мы продолжаем расследовать, как произошла эта компрометация, кто это сделал и почему», — заявила компания Piriform. «Мы приносим извинения и принимаем дополнительные меры, чтобы это не повторилось. Мы работаем с правоохранительными органами США в их расследовании.