ЦЦлеанер угрожен: боље проверите свој рачунар
- Категорија: Сигурност
Произвођачи популарног чистача датотека ЦЦлеанер потврдили су у понедељак, 18. 2017. 2017. да су хакери успели да успешно нападну рачунарску мрежу компаније.
Хакери су у нападу компромитовали две верзије ЦЦлеанер-а које су користиле до 3% корисничке базе компаније.
Верзије које су погођене су ЦЦлеанер 5.33.6162 и ЦЦлеанер Цлоуд 1.07.3191. Према Пириформу, само 32-битне верзије апликација биле су угрожене и дистрибуиране користећи сопствену инфраструктуру.
Компанија тражи од корисника да ажурирају своју верзију програма до најновијег доступног издања ако то већ није учињено. Најновија верзија ЦЦлеанер-а је верзија 5.34 у време писања.
- ЦЦлеанер 5.33.6162 објављен је 15. августа 2017. године, а ажурирана некомпромитирана верзија објављена је 12. септембра 2017. године.
- ЦЦлеанер Цлоуд 1.07.3191 објављен је 24. августа 2017, а некомпромитирана верзија програма 15. септембра 2017.
Сигурносни истраживачи Цисцове Талос групе откривено детаље о успешном нападу ланца снабдевања. Талос група је о ситуацији обавестила Аваст, матичну компанију Пириформ.
Током тестирања новог алата за откривање експлоата који је стигао од инсталатора ЦЦлеанер 5.33, Талос Гроуп је идентификовао извршну датотеку коју су заузврат испоручили легитимни сервери за преузимање ЦЦлеанер.
Извршни датотека за преузимање потписан је важећим Пириформ потписом. Инсталацијски програм садржавао је 'злонамерни корисни терет који садржи алгоритам генерирања домена', као и функцију 'тврдо кодиране наредбе и контроле'.
Истраживачи из Талоса закључили су да је злонамерни корисни терет дистрибуиран између изласка верзије 5.33, 15. августа 2017., и верзије 5.34, 12. септембра 2017. године.
Истраживачи сматрају да је вероватно да је „спољни нападач компромитовао део“ Пириформ-овог окружења за развој или изградњу и искористио приступ за уметање злонамерног софтвера у ЦЦлеанер буилд. Друга опција коју истраживачи сматрају јесте да је инсајдер укључио злонамерни код.
Корисници ЦЦлеанер-а који желе да се увере да компромитована верзија још увек није на њиховом систему можда ће желети да је скенирају Вирустотал или скенирајте помоћу ЦламАВ-а, јер је то једини антивирусни софтвер који тренутно открива претњу.
Можете преузети бесплатно ЦламАВ са ове веб странице.
Злонамјерни корисни терет креира кључ регистра ХКЛМ СОФТВАРЕ Пириформ Агомо: и користи га за спремање различитих података.
Пириформ издата Изјава од 18. септембра 2017. Према тој изјави, несетљиви подаци могу се пренијети на сервер у Сједињеним Америчким Државама.
Компромис би могао да проузрокује пренос несетљивих података (име рачунара, ИП адреса, листа инсталираног софтвера, листа активног софтвера, листа мрежних адаптера) на рачунарски сервер треће стране у САД-у. Немамо назнаке да су било који други подаци послати на сервер.
Паул Иунг, ВП производа компаније, објављено техничку процену напада такође на блогу компаније.
Једини предлог који Пириформ има је да се ажурира на најновију верзију.
Завршне речи
Компромитоване верзије ЦЦлеанер и ЦЦлеанер Цлоуд дистрибуиране су скоро месец дана. Са преко 20 милиона преузимања месечно и ажурирањима, то је велики број рачунара на који је ово утицало.