Popularna aplikacja CCleaner, służąca m.in. optymalizacji działania komputera poprzez czyszczenie zbędnych plików i wpisów w rejestrze, przez niemal miesiąc infekowała komputery użytkowników. Sprawa wyszła na jaw 13 września dzięki odkryciu zaraportowanym przez grupę Talos (Cisco). Eksperci natrafili na wcześniej nieznany typ ataku podczas testów nowej technologii do wykrywania eksploitów. Aktualnie nie wiadomo kto, dlaczego i w jaki sposób zmodyfikował plik instalacyjny, który był prawidłowo podpisany cyfrowo i dostępny do pobrania z oficjalnych serwerów producenta (sic!). Koń trojański został umieszczony w wersji 5.33 dla 32-bitowych systemów Windows oraz w wersji Cloud 1.07.3191. Aktywował się w momencie weryfikacji, że program działa z uprawnieniami lokalnego administratora – bez nich pozostawał w uśpieniu. Z analizy przeprowadzonej przez grupę Talos wynika, że złośliwe oprogramowanie zbierało informację o komputerze takie jak:
• Identyfikator instalacji
• Wersja systemu operacyjnego
• Nazwa komputera
• Adres IP
• Zainstalowane aplikacje
• Uruchomione procesy
Dane były dalej przesyłane na serwer o adresie IP 216.126.225.148, który jest już od kilku dni niedostępny. Alternatywnie malware mógł zgłaszać się na wybrane domeny (żadna z nich nie została do tej pory wykupiona). Następnie trojan oczekiwał na dalsze instrukcje do wykonania. Z opublikowanego raportu nie wynika, jakie polecenia były przesyłane do zainfekowanych komputerów.

Osoby, które mogły używać zainfekowanej wersji oprogramowania CCleaner, powinny zmienić hasła dostępowe do wszystkich serwisów – poczta e-mail, serwisy bankowe itp. (zachęcamy do wprowadzenia weryfikacji dwuetapowej np. hasło + sms), a także poważnie rozważyć reinstalację systemu operacyjnego. Aplikacja w zainfekowanej wersji nie wyrządziła szkód, jeżeli nie była uruchomiona z uprawnieniami administratora. Użytkownicy starszych wersji CCleanera nie muszą się obawiać (narzędzie nie aktualizuje się automatycznie). Z kolei jeżeli ktoś ma jeszcze ochotę na użycie narzędzia i uaktualni wersję podatną do nowszej – usunie malware.

Ten przypadek można uznać za jeden z najgroźniejszych i najbardziej tajemniczych incydentów komputerowych w historii – jak dotąd o niewiadomym pochodzeniu i niesprecyzowanym celu. Zainfekowanych mogło zostać ponad 2 miliony użytkowników. Uchronienie się przed podobnym atakiem jest ekstremalnie trudne. Dowodzi też konieczności tworzenia zaawansowanych systemów zabezpieczeń, badających anomalie w zachowaniu systemów i aplikacji.

Jednocześnie dogłębnego przemyślenia wymaga strategia zaufania do twórców oprogramowania, którego używamy (należy ponownie podkreślić, że zainfekowana wersja była prawidłowo podpisana cyfrowo certyfikatem dostawcy).

Więcej informacji w polskojęzycznych źródłach można znaleźć np. pod adresami:
• https://zaufanatrzeciastrona.pl/post/tajemniczy-incydent-z-ccleanerem-avastem-i-nieznanymi-ofiarami-w-tle/
• https://niebezpiecznik.pl/post/ccleaner-zhackowany-przez-miesiac-wykradal-dane-z-komputerow-2-milionow-uzytkownikow-ale-nie-wiadomo-po-co/
Informacje techniczne od grupy Talos:
• http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html