Οι κυβερνο-εγκληματίες χάκαραν την έκδοση CCleaner 5.33

από Lucia Danes - -

Malware που 'μεταμφιέστηκε' σε anti-malware

CCleaner did not slip through the grip of hackers

Το CCleaner είναι ένα πολύ γνωστό κι ευρέως χρησιμοποιούμενο εργαλείο καθαρισμού συστημάτων υπολογιστή από διαφόρων ειδών PUPs (potentially unwanted programs, δλδ. δυνητικά ανεπιθύμητα προγράμματα), όπως πχ. adware, αλλά και διαφόρων ειδών κακόβουλα λογισμικά, όπως πχ. malware. Επίσης, το συγκεκριμένο λογισμικό ασφαλείας δρα και ως βελτιστοποιητής συστήματος. Δυστυχώς, απ' ό,τι φαίνεται, το τελευταίο διάστημα έχει στοχοποιηθεί από κυβερνο-εγκληματίες. Μάλιστα, κατόπιν ερευνών διαπιστώθηκε ότι όσοι χρήστες κατέβασαν την έκδοση 5.33 μεταξύ 15 Αυγούστου – 12 Σεπτεμβρίου, είναι πολύ πιθανόν το σύστημα του υπολογιστή τους να έχει μολυνθεί από το κακόβουλο λογισμικό Floxif malware.

Σύμφωνα με τα τελευταία στατιστικά στοιχεία, πάνω από 2 εκατομμύρια χρήστες σε ΗΠΑ, Ρωσία, και Δυτική Ευρώπη πιθανολογείται ότι έχουν μολυνθεί (το συγκεκριμένο λογισμικό ασφαλείας είναι ιδιαιτέρως δημοφιλές σε αυτές τις χώρες). Αν και μόνο τα 32-bit συστήματα έχουν μολυνθεί, παρόλα αυτά συνιστούμε όλους τους χρήστες να προχωρήσουν σε λήψη της τελευταίας ενημερωμένης έκδοσης του λογισμικού.

Πώς λειτουργεί ο ιός Floxif?

Οι ειδικοί σε θέματα διαδικτυακής ασφάλειας συστημάτων έφτασαν στο συμπέρασμα ότι ο ιός Floxif virus έχει τη δυνατότητα, αλλά και τη τάση, να υποκλέπτει-καταγράφει-προωθεί σε τρίτους πληροφορίες τεχνικής φύσεως που σχετίζονται με το σύστημα του εκάστοτε χρήστη-θύματος. Αυτές οι πληροφορίες προωθούνται σε απομακρυσμένο Command and Control server των κυβερνο-εγκληματιών. Οι εξειδικευμένοι ερευνητές της Cisco Talos, οι οποίοι και εντόπισαν τη συγκεκριμένη μολυσμένη έκδοση, αποκάλυψαν επίσης ότι το malware έχει ενεργή επικοινωνία με την 216.126.225.148 IP διεύθυνση.

Στις αρχές, η μολυσμένη / χακαρισμένη έκδοση δεν κινούσε υποψίες καθώς είχε πιστοποιημένη ψηφιακή σφραγίδα. Έτσι, το malware προωθούνταν διαδικτυακά ως η υποτιθέμενη έκδοση 5.33 με εκδότη την Piriform (πλέον υπό την ιδιοκτησία της Avast).

Επιπρόσθετα, η κυβερνο-μόλυνση που εμπεριέχονταν στο λογισμικό περίμενε 601 δευτερόλεπτα πριν να ενεργοποιηθεί. Αυτό γινόταν προς αποφυγή του sandboxing. Ο ιός Floxif virus ενεργοποιούνταν στο εκάστοτε σύστημα-στόχο πάντα με διαχειριστικά προνόμια. 

Κατόπιν λήψης κι εκτέλεσης της διεργασίας ενημέρωσης, το malware εντοπίζει κι αντικαθιστά το υπάρχον CBkdr.dll με πανομοιότυπη, όμως χακαρισμένη και κακόβουλη παραλλαγή. Πάντως, εκτός από υποκλοπές πληροφοριών, η συγκεκριμένη κυβερνο-μόλυνση δε φαίνεται να παρουσιάζει κάποια άλλη ύποπτη / κακόβουλη δραστηριότητα.

Ακόμα δεν είναι ξεκάθαρο πως το malware κατάφερνει και υπερπηδάει το προηγμένο Avast anti-malware σύστημα εντοπισμού. Υπάρχουν 'ψίθυροι' ότι οι hackers είχαν τη βοήθεια υψηλόβαθμου / εξειδικευμένου στελέχους εκ των έσω της Avast, ο οποίος είχε πρόσβαση στη ανάπτυξη του λογισμικού ασφαλείας και 'σφύριξε' τα μυστικά στους κυβερνο-εγκληματίες.

Είναι, τώρα, ασφαλής η λήψη του CCleaner?

Αν και οι installers της έκδοσης 5.33 είναι ακόμα διαθέσιμοι κι ενεργοί, φαίνεται ότι υπήρξε αποτελεσματική αντιμετώπιση του malware. Μάλιστα, η Avast έχει κυκλοφορήσει ήδη την έκδοση 5.34, η οποία και είναι διαθέσιμη προς λήψη από τις 13 Σεπτεμβρίου.

Αν και οι κοινοί χρήστες δεν είχαν καμία απολύτως ελπίδα όσον αφορά την πρόληψη από τη συγκεκριμένη κυβερνο-επίθεση, μιας και η συγκεκριμένη έκδοση, αν και χακαρισμένη, είχε νόμιμη ψηφιακή υπογραφή, ωστόσο πιστεύουμε ότι θα βρουν τις παρακάτω συμβουλές ιδιαιτέρως χρήσιμες:

  • συνιστούμε την εγκατάσταση και χρήση 2 anti-malware λογισμικών ασφαλείας, καθώς έτσι δημιουργείται ένα πιο πολύπλευρο τείχος προστασίας του συστήματος
  • η λήψη των λογισμικών ασφαλείας επιβάλλεται να γίνεται αποκλειστικά και μόνο από τις επίσημες ιστοσελίδες των προγραμμάτων αυτών. Παράλληλα, είναι άκρως σημαντική η τακτική λήψη των πιο πρόσφατων ενημερώσεων ώστε τα λογισμικά ασφαλείας να είναι πάντα ετοιμοπόλεμα και αποτελεσματικά ακόμα και εναντίον των πλέον πρόσφατων κυβερνο-απειλών.
Στιγμιότυπο του Οι κυβερνο-εγκληματίες χάκαραν την έκδοση CCleaner 5.33
Στιγμιότυπο του Οι κυβερνο-εγκληματίες χάκαραν την έκδοση CCleaner 5.33

Σχετικά με συντάκτη

Lucia Danes
Lucia Danes - Ερευνήτρια Ιών
Πηγή: https://www.2-spyware.com/cyber-villains-corrupted-ccleaner-5-33-version

Διαβάστε σε άλλες γλώσσες


Αρχεία
Λογισμικό
Σύγκριση
Κάντε μας Like στο Facebook