Wykorzystali dobroczynny program do cyberataku

Ataki ze strony hakerów są coraz wymyślniejsze i wykorzystują do ich przeprowadzenia coraz to wymyślniejszych środków. Ostatnio wykorzystanym narzędziem w tak niesłusznej sprawnie był program popularnie stosowany do optymalizowania pracy systemu oraz porządkowania danych na nim zawartych – CCleaner. Zagrożenie w swojej istocie okazało się groźniejsze, niż się na to początkowo zapowiadało.

Zagrożenie jako pierwsi zauważyli pracujący w Morphisec specjaliści, a także zespół zajmujący się bezpieczeństwem – Cisco Talos. W tym drugim miejscu odkrycie tego szkodliwego oprogramowania było zasadzie kwestią przypadku, ponieważ „wyszło” podczas testowania nowych technologii. Alert wskazywał na instalator programu CCleaner, rozprowadzany przez pliki znajdujące się na oficjalne stronie producenta programu. Co ciekawsze, certyfikat przyznany producentowi, znajdujący się w rozszerzeniu pliku .exe był prawdziwy oraz prawidłowy. Efekt był jednak nieco odmienny, ponieważ chociaż użytkownik sądził, że pobiera narzędzie związane z producentami takimi jak Avast, otrzymywał niekoniecznie pożądany element dodatkowy, o którego istnieniu nie mógł wiedzieć.

Która wersja programu zawierała wirusa?

Niefortunnym programem okazała się trzydziestodwubitowa wersja programu, oferowana w wersji 5.33.6162, a także, obok niej. CCleaner Cloud q wersji 1.07.3191. Wraz z nim na komputerze użytkownika instalowane było złośliwe oprogramowanie, wyposażone również w funkcję zarówno zarządzania, jaki kontroli oraz – co ciekawsze – algorytmy umożliwiające generowanie domen internetowych. Jedna z tych opcji służy oczywiście do kontrolowania działań wykonywanych na komputerze w sposób zdalny, kolejna z nich używana jest w tak zwanych botnetach jako źródło utrudniania tworzenia blokad połączeń do serwerów oraz do uniemożliwiania przejmowania infrastruktury wskazanego  botnetu. Eksperci wykryli jeszcze jedną ciekawą rzecz, polegającą na celowym opóźnieniu swojego działania o dokładne dziesięć minut, co zostało zakwalifikowane jako sposób na uniknięcie wykrycia przez zainstalowane na komputerach zabezpieczenia.

Ile jest ofiar?

Wśród nieszczęśników mogło się znaleźć aż 2,27 miliona użytkowników w przeciągu miesiąca od rozpoczęcia rozpowszechniania jej z oficjalnej strony producenta. Kolejna wersja, posiadająca aktualizację z 12 września, 5.33.6162, posiadała już odpowiednie łatki, oczyszczone z atakującego szkodliwego kodu. Kolejnym podjętym działaniem było poinformowanie władz o zaistniałej sytuacji oraz wydanie kolejnej wersji programu.