Răufăcătorii cibernetici au corupt versiunea CCleaner 5.33

Malware sub deghizarea anti-malware

CCleaner, o unealtă larg răspândită şi populară pentru curăţarea calculatoarelor de adware şi alte tipuri de malware şi pentru menţinerea optimizată a proceselor, nu a reuşit să scape de atacul criminalilor cibernetici. Toţi utilizatorii, care au descărcat versiunea 5.33, între 15 august şi 12 septembrie, au riscat să fie infectaţi de malware-ul Floxif.

Este probabil ca peste 2 milioane de utilizatori din SUA, Rusia, şi Europa de Est să fi fost afectaţi din cauza popularităţii semnificative a acestui software în aceste ţări şi zone. În timp ce au fost afectate doar sistemele pe 32 de biţi, tuturor utilizatorilor li se recomandă să actualizeze software-ul la ultima versiune.

Ce face virusul Floxif?

Cercetătorii din IT au descoperit că virusul Floxif colectează date despre specificaţiile tehnice ale victimei, şi le transmite serverului de Comandă şi Control. Cercetătorii de la Cisco Talos, care au identificat versiunea coruptă, au dezvăluit că malware-ul face cereri la o anumită adresă de IP: 216.126.225.148 .

La început, versiunea coruptă nu a ridicat bănuieli deoarece era scrisă de către o semnătură digitală validă. Deci, malware-ul a fost livrat ca şi versiunea 5.33 publicată de către Piriform (dezvoltatorul original al ameninţării; acum deţinut de Avast).

În plus, infecţia introdusă în software a aşteptat timp de 601 secunde înainte de executare. Acest lucru a fost făcut pentru a scăpa de sandboxing. Interesant este faptul că virusul Floxif s-a executat în sistem cu drepturi administrative.

După descărcarea şi rularea procesului de actualizare, malware-ul a localizat şi înlocuit fişierul existent CBkdr.dll cu o variantă identică, dar coruptă. În afară de urmărirea de informaţii şi transmiterea lor pe server, infecţia nu arată vreun alt tip de comportament.

Specialiştii din securitatea cibernetică suspectează că malware-ul a reuşit să treacă de sistemul de detectare anti-malware de la Avast. Unii speculează că criminalul ar fi comunicat cu un individ din interior care avea acces la dezvoltarea software-ului .

Se poate descărca acum CCleaner în siguranţă?

În timp ce instalatorii pentru versiunea 5.33 sunt încă disponibili, malware-ul a fost eliminat cu succes. Avast deja a publicat versiunea 5.34 pe 13 septembrie.

Cu toate că utilizatorii normali nu au avut vreo şansă de a preveni această invazie deoarece unealta a pozat ca şi o versiune legitimă, pot găsi următoarele sfaturi ca utile:

• păstraţi mai multe unelte de prevenire şi eliminare malware
• descărcaţi-le de pe site-urile oficiale şi instalaţi ultima versiune imediat după ce este publicată.