Будь на чеку! - интернет-магазин SoftOnline

Будь на чеку! - интернет-магазин SoftOnline

ccleaner-21-700x393.jpg

  Исследователи безопасности настоятельно призвали пользователей чрезвычайно популярного инструмента оптимизации производительности для обновления до последней версии, после обнаружения сложной атаки цепочки поставок, которая вставляла вредоносное ПО в программное обеспечение.

Во время бета-тестирования нового инструмента безопасности Cisco Talos обнаружила вредоносный код в 32-битной версии установщика CCleaner 5.33 со штаб-квартирой в Лондоне - Piriform, теперь являющейся частью Avast.

Версия, отмеченная Cisco, оказалась недействительной и была признана легитимной и подписана с действительным цифровым сертификатом.

«Вероятно, внешний нарушитель скомпрометировал часть среды разработки или сборки [Piriform] и использовал этот доступ для вставки вредоносного ПО в сборку CCleaner, которая была выпущена и размещена организацией», - пояснила фирма.

«Также возможно, что инсайдер с доступом к средам разработки или сборки внутри организации намеренно включал вредоносный код или мог иметь скомпрометированную учетную запись (или подобное), которая позволяла злоумышленнику включать код».

Если это правда, modus operandi из хакеров напоминает способ распространения «NotPetya» после того, как злоумышленники обратились к популярному украинскому учетному программному обеспечению у источника.

Cisco Talos также предположила, что части процесса подписания сертификата, о котором идет речь, возможно, были скомпрометированы, и утверждал, что сертификат должен быть отозван и не доверен.

«При создании нового сертификата необходимо принять меры для обеспечения того, чтобы злоумышленники не имели плацдарма в среде, с которой можно было бы скомпрометировать новый сертификат. Только процесс реагирования на инциденты может предоставить подробную информацию о масштабах этой проблемы и о том, как наилучшим образом ее решить », - добавил он.

Вредоносная программа работает только с учетной записью администратора, профилированием и сбором системной информации, такой как имя компьютера, IP-адрес, список установленных программ, список активного программного обеспечения и список сетевых адаптеров - перед отправкой на американский сервер C & C ,

Атакующие могут использовать зараженные компьютеры «для любого количества вредоносных целей», так как есть возможности во вредоносном ПО для загрузки и запуска полезных нагрузок второго этапа; возможно, украсть личную и финансовую информацию. Частота обнаружения также очень низкая (1/64) для этой угрозы, предупреждала Cisco в сообщении в блоге в понедельник.

CCleaner загружается более двух миллиардов раз по всему миру, и пять миллионов новых пользователей, как говорят, подписывают каждую неделю, хотя неясно, сколько из них загрузило вредоносную версию. Piriform сказал, что 3% его огромной пользовательской базы «могут» были скомпрометированы.

Распространение вредоносного ПО, скорее всего, было ограничено ранним вмешательством Cisco и быстрым действием Piriform / Avast в принуждении к закрытию рассматриваемого сервера C & C и выпуске обновленной версии уязвимого инструмента: CCleaner 5.34.

«Пострадавшие системы должны быть восстановлены до состояния 15 августа 2017 года или переустановлены», - призвал Cisco Talos. «Пользователи также должны обновить до последней доступной версии CCleaner, чтобы избежать заражения».


AlfaSystems GoPro GP261D21