Populárny softvér na čistenie operačného systému obsahoval malvér.

CCleaner, populárny softvér, ktorý podľa výrobcu vužívajú viac ako dve miliardy užívateľov, obsahoval škodlivý softvér. Spoločnosť Piriform, ktorá softvér vytvára a patrí pod firmu Avast, nevedome šírila tento malvér prostredníctvom svojich oficiálnych serverov.

Pokiaľ ste si stiahli alebo aktualizovali free verziu známeho čističa medzi 15. augustom a 13. septembrom tohto roku z oficiálnej stránky vývojárov, váš počítač je pravdepodobne napadnutý.

Bezpečnostní výskumníci z Cisco Talos prišli na to,že servery firmy Avast, pod ktorú CCleaner patrí, napadli hackeri. Tí následne vymenili inštalačný súbor s 32 bitovou verziou aplikácií CCleaner a CCleaner Cloud za infikovanú kópiu. Počas necelého mesiaca si ju následne stiahli milióny užívateľov. Avast, ako aj Piriform priznali, že ich aplikácie CCleaner (v5.33.6162) a CCleaner Cloud (v1.07.3191) infikoval malvér Floxif, ktorý predstavuje vážne ohrozenie pre užívateľov. Spomína sa krádež dát či úplná kontrola nad počítačom obete.

Infikovaný softvér bol naprogramovaný tak, aby zhromažďoval nasledovné informácie o infikovanom počítači:

  • meno počítača
  • zoznam nainštalovaného softvéru, vrátane nainštalovaných systémových aktualizácií OS Windows
  • zoznam aktuálne bežiacich procesov
  • IP adresu a MAC adresy sieťových adaptérov
  • doplnkové údaje o operačnom systéme (32 alebo 64 bitová verzia, prístup k administrátorskému účtu a podobne)

Všetky tieto údaje boli odosielané na jednu jedinú IP adresu (216.126.225.148), ktorá bola včlenená do zdrojového kódu softvéru a označená pod falošným označením “Host: speccy.piriform.com”, aby sa predišlo odhaleniu pri sledovaní sieťovej prevádzky.

V súčasnosti je podľa spoločnosti hrozba neutralizovaná a nehrozí ďalšie šírenie malvéru. Zároveň však platí, že užívatelia by mali softvér čo najskôr aktualizovať, pretože podľa tímu Cisco Talos si každý týždeň stiahne CCleaner vyše päť miliónov ľudí. To by znamenalo, že za necelý mesiac hackeri nainfikovali vyše 20 miliónov počítačov. Talos okrem aktualizácie aplikácie užívateľom odporúča, aby na svojom zariadení vykonali antivírusový test. Ďaľším riešením je obnova systému do stavu pred 15. augustom či použitie nástroja firmy Malwarebytes.

Užívatelia, ktorí používajú CCleaner na svojom smartfóne s operačným systémom Android, môžu s najväčšou pravdepodobnosťou zostať pokojní. Aplikácia sa totiž v tomto prípade nesťahuje zo serverov výrobcu, ale zo serverov spoločnosti Google a zatiaľ nie je známe, že by útočník napadol aj tie.

Podobný incident nie je ničím novým. Infikovanie serverov vývojárskej firmy, ktoré sa nazýva “Supply chain attack”, bolo využité aj pri šírení ransomvéru Petya. Ten sa stal známym v júni tohto roku, keď sa začal šíriť prostrednictvom aktualizácií ukrajinskej firmy vyvíjajúcej účtovnícky softvér. O ransomvéri Petya sme informovali tu.

(FB)