Ccleaner

[ironman]

un malware était intégré à l’application, comment savoir si vous êtes infectés.


CCleaner a distribué pendant quatre semaines un malware à l’insu de son développeur Piriform. La firme explique avoir vécu un « incident de sécurité » du 15 août au 12 septembre pendant lequel son application de nettoyage et d’optimisation distribuait un programme malveillant. Après avoir été informée du problème, la firme a immédiatement suspendu les téléchargement et poussé un correctif chez les utilisateurs affectés.

ccleaner-malware.jpg


CCleaner est un utilitaire extrêmement populaire pour nettoyer et optimiser son PC… et visiblement des hackers ont su en profiter. Pendant quatre semaines, le programme a installé un malware sur les PC de ceux qui l’ont téléchargé, à leur insu et visiblement de Piriform, son éditeur, qui s’en est excusé dans un post de blog :

Nous voudrions nous excuser pour l’incident de sécurité qui a récemment été trouvé dans Cleaner version 5.33.6162 et Cleaner Cloud version 1.07.3191 […] nous nous sommes rendus compte que [ces versions, ndlr] ont été illégalement modifiées avant d’être mises à la disposition du public et nous avons lancé un processus d’enquête


CCleaner : un malware était intégré à l’application

Ils ajoutent que « la menace a été adressée » depuis : le serveur des hackers vers lequel les données transitaient a été mis hors ligne, que les autres serveurs sont « hors du contrôle de l’attaquant » et que des mises à jour spéciales ont été poussées sur les ordinateurs des personnes affectées : « en d’autres mots, de ce que nous savons, nous avons été capables de désarmer la menace avant qu’elle ne soit capable de causer le moindre mal ».

La firme détaille ensuite ce que faisait ce code malicieux concrètement. On apprend ainsi qu’il collectait le nom de l’ordinateur, la liste des logiciels installés, y compris les mises à jour Windows, la liste des processus en cours d’exécution, l’adresse MAC des trois premiers adaptateurs réseau, d’autres informations sur la version de windows et les privilèges de session.

L’entreprise précise qu’une partie des données collectées ne peut être précisée en raison du recours au chiffrement. Vous avez été infectés si :


Vous avez téléchargé CCleaner entre le 15 août et le 12 septembre 2017
Votre version de Cleaner est 5.33.6162
Et/ou votre version de Cleaner Cloud est 1.07.3191



Bien sûr, au-delà du message rassurant de l’éditeur, nous vous conseillons quand même d’en profiter pour faire une bonne recherche de malwares.

[ironman]

CCleaner : la compromission prend une tournure inattendue.

Derrière la compromission d'une version de CCleaner, il n'y avait pas forcément
une quête d'infection massive, mais une tentative de cyberespionnage ciblé.

Suite à un accès malveillant à la chaîne d'approvisionnement, l'exécutable principal de la version 5.33.6162 de CCleaner avait été modifié pour intégrer une backdoor. Seuls des systèmes Windows 32 bits ont été affectés.

Propriétaire depuis peu de Piriform qui édite CCleaner, Avast a estimé à 2,27 millions le nombre d'utilisateurs ayant été concernés.

Les chercheurs en sécurité de l'équipe Talos de Cisco ont analysé le serveur de commande et contrôle impliqué dans la version malveillante de CCleaner, et une base de données MySQL en lien. Ils ont découvert qu'une charge utile secondaire a été envoyée à une vingtaine de machines afin d'obtenir l'accès aux réseaux de plusieurs entreprises.

En se basant sur les noms de domaine visés, les cibles ont été... Cisco, mais également Akamai, D-Link, Epson, Google (Gmail), HTC, Intel, Linksys, Microsoft, MSI, Samsung, Sony ou encore VMware.

cisco-talos-analyse-compromission-ccleaner_013B000001649517.jpg

Au-delà d'une tentative d'infection massive, il y a donc manifestement eu une tentative de cyberespionnage ciblé en faisant le tri parmi la somme de machines affectées. Pour ces dernières, la backdoor était utilisée pour délivrer du code malveillant plus agressif.

Cisco Talos a prévenu toutes les entreprises concernées par l'attaque, sachant que pour certaines d'entre elles, il y a eu une compromission effective d'une ou plusieurs machines. D'autres n'ont pas été compromises au final, mais la liste pourrait être plus importante qu'avec la portion analysée.

Cela donne une autre tournure à l'affaire CCleaner, d'autant qu'un chercheur de Kaspersky Lab a trouvé du code commun entre la backdoor dans la version compromise de l'utilitaire de Piriform et des outils utilisés par un groupe notamment connu en tant que Axiom (ou groupe 72). Ce groupe de cyberespionnage est suspecté d'être en lien avec le gouvernement chinois.

Ce partage de code n'est pas suffisant à ce stade pour affirmer mordicus que le groupe Axiom - et a fortiori la Chine - est derrière toute cette affaire.

À noter qu'une nouvelle version 5.35 de CCleaner est disponible depuis hier (et ainsi après la version 5.34 nettoyée de toute backdoor). Elle dispose d'une nouvelle signature numérique pour remplacer l'ancienne qui accompagnait la version compromise.