Кибер престъпниците компрометират CCleaner 5.33

Зловредният софтуер под прикритието на програма против зловреден софтуер

CCleaner, добре познат и използван инструмент за почистване на компютри от адуер и други видове зловреден софтуер и поддържане на оптимизирани процеси, не успя да избегне нападението на кибер престъпници. Всички потребители, които са изтеглили версията 5.33 между 15 август и 12 септември са изложени на риск от заразяване със зловредния софтуер Floxif.

Над 2 милиона потребители в САЩ, Русия и Западна Европа най-вероятно са се заразили поради значителната популярност на софтуера в тези страни и зони. Въпреки че са засегнати само 32-битови системи, препоръчително е всички потребители да обновят софтуер до най-новата му версия.

Какво прави вируса Floxif?

IT изследователите са открили, че вирусът Floxif събира информация за техническите спецификации на жертвата и я предава към отдалечен Команден и контролен сървър. Изследователите от Cisco Talos, които са открили заразената версия също разкриват, че зловредният софтуер прави заявки към специфичен IP адрес 216.126.225.148.

В началото инфектираната версия не предизвиква никакво съмнение, тъй като е подписана с валиден цифров подпис. По този начин, зловредният софтуер е представен като предполагаемата версия 5.33 на Piriform (оригиналният издател на заплахата; сега собственост на Avast).

Също така, инфекцията вградена в софтуера изчаква 601 секунди преди да се изпълни. Това е с цел да се избегне сендбоксинг (sandboxing). Интересното е, че вирусът Floxif се изпълнява единствено в системи с администраторски права.

След изтегляне и стартиране на процеса на обновяване, зловредният софтуер открива и заменя съществуващия CBkdr.dll с идентичен, но инфектиран вариант. Освен проследяване на информацията и предаването и в последствие към сървъра, инфекцията не показва друга активност.

Специалистите по кибер сигурност само могат да предполагат как вирусът е успял да премине през системата за откриване на зловреден софтуер на Avast. Някои спекулират, че нападателят може да е бил в контакт с вътрешен човек, който е имал достъп до разработването на софтуер.

Безопасно ли е изтеглянето на CCleaner в момента?

Въпреки че все още има налични инсталатори за версията 5.33, зловредният софтуер е успешно премахнат. Avast вече публикуваха версия 5.34 на 13 септември.

Въпреки че обикновените потребители нямат никаква възможност да се предпазят от тази заплаха, тъй като инструментът се представя за легитимна версия, те могат да намерят за полезни следните съвети:

• поддържайте няколко различни инструмента за откриване и премахване на зловреден софтуер
• изтегляйте ги от официалните сайтове и инсталирайте най-новата версия веднага след като бъде публикувана