Avast: ‘Ontwikkelomgeving van CCleaner was mogelijk sinds 3 juli gecompromitteerd’
De ontwikkelomgeving van CCleaner was mogelijk al sinds 3 juli gecompromitteerd. Dit meldt Avast, de eigenaar van CCleaner ontwikkelaar Piriform. Het bedrijf baseert zich hierbij op de uitgiftedatum van een gebruikt SSL-certificaat. Avast spreekt van een zeer geavanceerde aanval, die nauwkeurig is voorbereid door de aanvallers.
Piriform en Cisco’s Talos Security Intelligence and Research Group meldden maandag 18 september dat malware is aangetroffen in twee legitieme versies van CCleaner. Het ging hierbij om 32-bit versie van v5.33.6162 van CCleaner en v1.07.3191 van CCleaner Cloud. De 32-bit versie van v5.33 van CCleaner werd aangeboden via de officiële downloadserver van Piriform.
2,27 miljoen keer geïnstalleerd
Avast meldt dat ongeveer 2,27 miljoen gebruikers de gewraakte 32-bit versie van CCleaner hebben geïnstalleerd. Een groot deel van deze gebruikers zou inmiddels hebben geüpdatet naar versie 5.34, waarin de malafide code niet aanwezig is. Op het moment van schrijven zou versie 5.33 nog door 730.000 gebruikers worden gebruikt. Avast adviseert deze gebruikers alsnog te updaten, al benadrukt het bedrijf dat de servers waarvan de malware gebruik maakt offline zijn gehaald en getroffen gebruikers hierdoor geen risico meer lopen.
Daarnaast meldt Avast op 12 september door het bedrijf Morphisec op de hoogte te zijn gebracht van de aanwezigheid van de malafide code in de software van Piriform. Avast vermoedt dat Morphisec ook Cisco op de hoogte heeft gesteld van het probleem, die hier vervolgens in een blogpost melding van heeft gemaakt. Cisco alarmeerde Avast vervolgens op 14 september. Avast benadrukt op dit moment de dreiging al te hebben geanalyseerd en Amerikaanse opsporingsinstanties te hebben ingeschakeld.
Command & Control-server
De Command & Control-server van de malware werd op 15 september offline gehaald door opsporingsinstanties. Secundaire domeinnamen die door de malware werden gebruikt zijn gelijktijdig geregistreerd door het Cisco Talos team. Avast stelt dat de dreiging die uitging van de malware door deze twee acties is weggenomen.
Meer over
Lees ook
Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers
Onderzoekers van Proofpoint nemen sinds kort nieuwe activiteit waar van de aan Iran gelinkte dreigingsactor TA450. Deze dreigingsactor is ook bekend als MuddyWater, Mango Sandstorm en Static Kitten.
Exclusieve samenwerking Orange Cyberdefense en Salvador Technologies verbetert veerkracht OT-omgevingen
Orange Cyberdefense kondigt een exclusieve strategische samenwerking aan met Salvador Technologies. Dankzij deze samenwerking komt Salvador’s Cyber Recovery Unit op de Nederlandse markt beschikbaar en breidt Orange Cyberdefense het portfolio rondom OT-securitydiensten verder uit. Met de oplossing van Salvador kunnen organisaties hun getroffen pc’s1
TA866 keert terug in grootschalige e-mailcampagne
Proofpoint onderzoekers stellen de terugkeer van TA866 in een grootschalige e-mailcampagne vast. TA866 was negen maanden afwezig. Op 11 januari 2024 blokkeerde Proofpoint een grootschalige campagne van enkele duizenden e-mails gericht op Noord-Amerika.