- Lid geworden
- 2 aug 2016
- Berichten
- 36.348
- Waarderingsscore
- 7.049
- Punten
- 113
- OS
- Windows 11 Professional
- AV
- Microsoft Defender, MBAM Free & Eset Online
- FW
- Windows Firewall
Het hele verhaal van Security.nl:
Officiële versie van populaire tool CCleaner bevatte backdoor
maandag 18 september 2017, 10:50 door Redactie, 18 reacties
Laatst bijgewerkt: Vandaag, 12:24
Een officiële gesigneerde versie van het populaire programma CCleaner, die via de officiële downloadservers werd aangeboden, bevatte een backdoor. CCleaner is software om cookies, tijdelijke bestanden, surfgeschiedenis, logbestanden, applicatiedata en andere bestanden mee te verwijderen.
Het wordt door 130 miljoen gebruikers wereldwijd gebruikt. In juli van dit jaar werd de software en ontwikkelaar Piriform door anti-virusbedrijf Avast overgenomen. Onderzoekers van Cisco ontdekten de malware in versie 5.33 van de software. De besmette versie was gesigneerd met een geldig certificaat van Piriform. De onderzoekers denken dat een deel van de ontwikkelomgeving van Pirifom waarschijnlijk door de aanvallers is gecompromitteerd. Zodoende kon er malware aan de officiële CCleaner-versie worden toegevoegd. Een andere optie is dat een kwaadwillende medewerker, een zogeheten insider, voor de malware verantwoordelijk is, aldus Cisco.
De malware stuurt informatie over het systeem, zoals ip-adres, mac-adressen, computernaam, of het proces met adminrechten draait en geïnstalleerde software, naar een remote server en is in staat om code uit te voeren die door de server wordt teruggestuurd. CCleaner 5.33, die de malware bevatte, verscheen op 15 augustus 2017. Op 12 september werd versie 5.34 uitgerold. Tot en met 11 september werd de besmette versie van CCleaner via de officiële downloadserver aangeboden. Cisco adviseert beheerders van getroffen systemen om die naar een staat van voor 15 augustus te herstellen of het systeem opnieuw te installeren.
Hoeveel mensen de besmette versie hebben gedownload is volgens de onderzoekers van Cisco onbekend. CCleaner claimt in totaal 2 miljard downloads en 5 miljoen nieuwe gebruikers per week. De gratis versie beschikt niet over een automatische updatefunctie. Updaten naar de nieuwste versie, waarin geen kwaadaardige code aanwezig is, moet dan ook handmatig gebeuren. Op het moment van de ontdekking werd de malware door 1 van de 64 virusscanners op VirusTotal gedetecteerd.
Piriform
Ook Piriform waarschuwt op de eigen website voor de malware. De softwareontwikkelaar stelt dat CCleaner v5.33.6162 en CCleaner Cloud v1.07.3191 voor 32-bit Windows gecompromitteerd zijn geraakt. Deze versies zouden door 3 procent van de gebruikers zijn geïnstalleerd. Dit zou op 2,27 miljoen gebruikers neerkomen. Volgens Piriform verstuurde de malware "niet gevoelige gegevens" naar een remote server. Deze server is op 15 september uit de lucht gehaald. Hoe de infectie kon plaatsvinden wordt nog uitgezocht. Amerikaanse opsporingsdiensten zijn ook een onderzoek gestart.
BRON