Cyberprzestępccy przejęli CCleanera v 5.33

Malware w skórze anty-malware'a

CCleaner, znane na szeroką skalę narzędzie do czyszczenia komputerów z adware oraz innych rodzajów złośliwego oprogramowania, jak również do zarządzania optymalizacją komputera, nie poradził sobie z atakiem cyber gangsterów. Wszyscy użytkownicy, którzy pobrali wersję 5.33 między 15 sierpnia, a 12 września, ryzykują atakiem wirusa Floxif.

Ponad dwa miliony użytkowników w Stanach Zjednoczonych, Rosji oraz Europie Zachodniej mogą stać się ofiarami ataku z powodu popularności tego oprogramowania w tamtych regionach. Podczas, gdy zostały zaatakowane tylko systemy 32-bitowe, wszystkim użytkownikom zaleca się aktualizację programu do najnowszej wersji.

Co robi wirus Floxif?

Naukowcy z dziedziny informtyki odkryli, że wirus Floxif zbiera dane o parametrach technicznych komputer ofiary i wysyla je na zdalny serwer zarządzania i kontroli (C&C). Badacze z Cisco Talos, którzy zidentyfikowali przejętą wersję, odkryli też, że malware tworzy zapytania do określonego adresu IP – 216.126.225.148.

Na początku, spreparowana wersja nie wzbudzała żadnych podejrzeń i posiadała ważny podpis cyfrowy. Z tego powodu malware został dostarczony jako wersja 5.33 programu od Piriform (pierwotni twórcy programu – obecnie w posiadaniu przez Avast).

Dodatkowo, infekcja zagnieżdżona w programie czekała 601 sekund przed rozpoczęciem działania. Zostało to zrobione w celu uniknięcia tzw. sandboksingu. Co ciekawe, Floxif uruchomił się tylko w systemach z prawami administratora.

Po pobraniu u uruchomieniu procesu aktualizacji, malware ten odszukuje u zamienia istniejący plik CBkdr.dll z identycznym, lecz spreparowanym odpowiednikiem. Poza śledzeniem informacji i ich transmisją do serwera, infekcja nie wykazywała żadnych innych aktywności.

Eksperci od cyberbezpieczeństwa podejrzewają, w jaki sposób malware zdołał przejść przez system wykrywania anty-malware posiadany przez Avasta. Niektórzy spekulują, że agresor mógł nawiązać kontakt z kimś z firmy, kto miał dostęp do rozwoju oprogramowania.

Czy pobranie CCleanera jest już bezpieczne?

Podczas, gy instalatory wersji 5.33 są wciąż dostępne, malware został z powodzeniem usunięty. Avast opublikował nową wersję programu oznaczoną numerem 5.34 dnia 13 września.

Mimo, że zwykli użytkownicy nie mieli szans na zapobiegnięcie atakowi – jako że wirus z powodzeniem podszył się pod program – mogą skorzystać z kilku wskazówek:

• posiadaj kilka różnych narzędzi do radzenia sobie z malware
• pobieraj je z oficjalnych stron i regularnie aktualizuj