Ccleaner

[ironman]

un malware �tait int�gr� � l�application, comment savoir si vous �tes infect�s.


CCleaner a distribu� pendant quatre semaines un malware � l�insu de son d�veloppeur Piriform. La firme explique avoir v�cu un � incident de s�curit� � du 15 ao�t au 12 septembre pendant lequel son application de nettoyage et d�optimisation distribuait un programme malveillant. Apr�s avoir �t� inform�e du probl�me, la firme a imm�diatement suspendu les t�l�chargement et pouss� un correctif chez les utilisateurs affect�s.

ccleaner-malware.jpg


CCleaner est un utilitaire extr�mement populaire pour nettoyer et optimiser son PC� et visiblement des hackers ont su en profiter. Pendant quatre semaines, le programme a install� un malware sur les PC de ceux qui l�ont t�l�charg�, � leur insu et visiblement de Piriform, son �diteur, qui s�en est excus� dans un post de blog :

Nous voudrions nous excuser pour l�incident de s�curit� qui a r�cemment �t� trouv� dans Cleaner version 5.33.6162 et Cleaner Cloud version 1.07.3191 [�] nous nous sommes rendus compte que [ces versions, ndlr] ont �t� ill�galement modifi�es avant d��tre mises � la disposition du public et nous avons lanc� un processus d�enqu�te


CCleaner : un malware �tait int�gr� � l�application

Ils ajoutent que � la menace a �t� adress�e � depuis : le serveur des hackers vers lequel les donn�es transitaient a �t� mis hors ligne, que les autres serveurs sont � hors du contr�le de l�attaquant � et que des mises � jour sp�ciales ont �t� pouss�es sur les ordinateurs des personnes affect�es : � en d�autres mots, de ce que nous savons, nous avons �t� capables de d�sarmer la menace avant qu�elle ne soit capable de causer le moindre mal �.

La firme d�taille ensuite ce que faisait ce code malicieux concr�tement. On apprend ainsi qu�il collectait le nom de l�ordinateur, la liste des logiciels install�s, y compris les mises � jour Windows, la liste des processus en cours d�ex�cution, l�adresse MAC des trois premiers adaptateurs r�seau, d�autres informations sur la version de windows et les privil�ges de session.

L�entreprise pr�cise qu�une partie des donn�es collect�es ne peut �tre pr�cis�e en raison du recours au chiffrement. Vous avez �t� infect�s si :


Vous avez t�l�charg� CCleaner entre le 15 ao�t et le 12 septembre 2017
Votre version de Cleaner est 5.33.6162
Et/ou votre version de Cleaner Cloud est 1.07.3191



Bien s�r, au-del� du message rassurant de l��diteur, nous vous conseillons quand m�me d�en profiter pour faire une bonne recherche de malwares.

[ironman]

CCleaner : la compromission prend une tournure inattendue.

Derri�re la compromission d'une version de CCleaner, il n'y avait pas forc�ment
une qu�te d'infection massive, mais une tentative de cyberespionnage cibl�.

Suite � un acc�s malveillant � la cha�ne d'approvisionnement, l'ex�cutable principal de la version 5.33.6162 de CCleaner avait �t� modifi� pour int�grer une backdoor. Seuls des syst�mes Windows 32 bits ont �t� affect�s.

Propri�taire depuis peu de Piriform qui �dite CCleaner, Avast a estim� � 2,27 millions le nombre d'utilisateurs ayant �t� concern�s.

Les chercheurs en s�curit� de l'�quipe Talos de Cisco ont analys� le serveur de commande et contr�le impliqu� dans la version malveillante de CCleaner, et une base de donn�es MySQL en lien. Ils ont d�couvert qu'une charge utile secondaire a �t� envoy�e � une vingtaine de machines afin d'obtenir l'acc�s aux r�seaux de plusieurs entreprises.

En se basant sur les noms de domaine vis�s, les cibles ont �t�... Cisco, mais �galement Akamai, D-Link, Epson, Google (Gmail), HTC, Intel, Linksys, Microsoft, MSI, Samsung, Sony ou encore VMware.

cisco-talos-analyse-compromission-ccleaner_013B000001649517.jpg

Au-del� d'une tentative d'infection massive, il y a donc manifestement eu une tentative de cyberespionnage cibl� en faisant le tri parmi la somme de machines affect�es. Pour ces derni�res, la backdoor �tait utilis�e pour d�livrer du code malveillant plus agressif.

Cisco Talos a pr�venu toutes les entreprises concern�es par l'attaque, sachant que pour certaines d'entre elles, il y a eu une compromission effective d'une ou plusieurs machines. D'autres n'ont pas �t� compromises au final, mais la liste pourrait �tre plus importante qu'avec la portion analys�e.

Cela donne une autre tournure � l'affaire CCleaner, d'autant qu'un chercheur de Kaspersky Lab a trouv� du code commun entre la backdoor dans la version compromise de l'utilitaire de Piriform et des outils utilis�s par un groupe notamment connu en tant que Axiom (ou groupe 72). Ce groupe de cyberespionnage est suspect� d'�tre en lien avec le gouvernement chinois.

Ce partage de code n'est pas suffisant � ce stade pour affirmer mordicus que le groupe Axiom - et a fortiori la Chine - est derri�re toute cette affaire.

� noter qu'une nouvelle version 5.35 de CCleaner est disponible depuis hier (et ainsi apr�s la version 5.34 nettoy�e de toute backdoor). Elle dispose d'une nouvelle signature num�rique pour remplacer l'ancienne qui accompagnait la version compromise.