Avast: ‘Ontwikkelomgeving van CCleaner was mogelijk sinds 3 juli gecompromitteerd’
De ontwikkelomgeving van CCleaner was mogelijk al sinds 3 juli gecompromitteerd. Dit meldt Avast, de eigenaar van CCleaner ontwikkelaar Piriform. Het bedrijf baseert zich hierbij op de uitgiftedatum van een gebruikt SSL-certificaat. Avast spreekt van een zeer geavanceerde aanval, die nauwkeurig is voorbereid door de aanvallers.
Piriform en Cisco’s Talos Security Intelligence and Research Group meldden maandag 18 september dat malware is aangetroffen in twee legitieme versies van CCleaner. Het ging hierbij om 32-bit versie van v5.33.6162 van CCleaner en v1.07.3191 van CCleaner Cloud. De 32-bit versie van v5.33 van CCleaner werd aangeboden via de officiële downloadserver van Piriform.
2,27 miljoen keer geïnstalleerd
Avast meldt dat ongeveer 2,27 miljoen gebruikers de gewraakte 32-bit versie van CCleaner hebben geïnstalleerd. Een groot deel van deze gebruikers zou inmiddels hebben geüpdatet naar versie 5.34, waarin de malafide code niet aanwezig is. Op het moment van schrijven zou versie 5.33 nog door 730.000 gebruikers worden gebruikt. Avast adviseert deze gebruikers alsnog te updaten, al benadrukt het bedrijf dat de servers waarvan de malware gebruik maakt offline zijn gehaald en getroffen gebruikers hierdoor geen risico meer lopen.
Daarnaast meldt Avast op 12 september door het bedrijf Morphisec op de hoogte te zijn gebracht van de aanwezigheid van de malafide code in de software van Piriform. Avast vermoedt dat Morphisec ook Cisco op de hoogte heeft gesteld van het probleem, die hier vervolgens in een blogpost melding van heeft gemaakt. Cisco alarmeerde Avast vervolgens op 14 september. Avast benadrukt op dit moment de dreiging al te hebben geanalyseerd en Amerikaanse opsporingsinstanties te hebben ingeschakeld.
Command & Control-server
De Command & Control-server van de malware werd op 15 september offline gehaald door opsporingsinstanties. Secundaire domeinnamen die door de malware werden gebruikt zijn gelijktijdig geregistreerd door het Cisco Talos team. Avast stelt dat de dreiging die uitging van de malware door deze twee acties is weggenomen.
Meer over
Lees ook
Van social engineering tot DMARC-misbruik: TA427’s informatieverzamelkunst
Onderzoekers van Proofpoint volgen verschillende dreigingsactoren, waaronder TA427. Deze dreigingsactor is ook bekend als Emerald Sleet, APT43, THALLIUM of Kimsuky en wordt gelieerd aan Noord-Korea.
Proofpoint: TA547 richt zich op Duitse bedrijven met Rhadamanthys Stealer
Onderzoekers van Proofpoint identificeren een nieuwe e-mailcampagne van TA547. Deze richt zich op Duitse bedrijven en heeft als doel het afleveren van Rhadamanthys malware
Dreigingsactoren leveren malware via YouTube
Proofpoint Emerging Threats ziet dat de aflevering van malware voor het stelen van informatie via YouTube plaatsvindt. Voorbeelden hiervan zijn Vidar, StealC en Lumma Stealer. De aflevering vindt plaats via illegale software en cracks van videogames