Avast: ‘Ontwikkelomgeving van CCleaner was mogelijk sinds 3 juli gecompromitteerd’
De ontwikkelomgeving van CCleaner was mogelijk al sinds 3 juli gecompromitteerd. Dit meldt Avast, de eigenaar van CCleaner ontwikkelaar Piriform. Het bedrijf baseert zich hierbij op de uitgiftedatum van een gebruikt SSL-certificaat. Avast spreekt van een zeer geavanceerde aanval, die nauwkeurig is voorbereid door de aanvallers.
Piriform en Cisco’s Talos Security Intelligence and Research Group meldden maandag 18 september dat malware is aangetroffen in twee legitieme versies van CCleaner. Het ging hierbij om 32-bit versie van v5.33.6162 van CCleaner en v1.07.3191 van CCleaner Cloud. De 32-bit versie van v5.33 van CCleaner werd aangeboden via de officiële downloadserver van Piriform.
2,27 miljoen keer geïnstalleerd
Avast meldt dat ongeveer 2,27 miljoen gebruikers de gewraakte 32-bit versie van CCleaner hebben geïnstalleerd. Een groot deel van deze gebruikers zou inmiddels hebben geüpdatet naar versie 5.34, waarin de malafide code niet aanwezig is. Op het moment van schrijven zou versie 5.33 nog door 730.000 gebruikers worden gebruikt. Avast adviseert deze gebruikers alsnog te updaten, al benadrukt het bedrijf dat de servers waarvan de malware gebruik maakt offline zijn gehaald en getroffen gebruikers hierdoor geen risico meer lopen.
Daarnaast meldt Avast op 12 september door het bedrijf Morphisec op de hoogte te zijn gebracht van de aanwezigheid van de malafide code in de software van Piriform. Avast vermoedt dat Morphisec ook Cisco op de hoogte heeft gesteld van het probleem, die hier vervolgens in een blogpost melding van heeft gemaakt. Cisco alarmeerde Avast vervolgens op 14 september. Avast benadrukt op dit moment de dreiging al te hebben geanalyseerd en Amerikaanse opsporingsinstanties te hebben ingeschakeld.
Command & Control-server
De Command & Control-server van de malware werd op 15 september offline gehaald door opsporingsinstanties. Secundaire domeinnamen die door de malware werden gebruikt zijn gelijktijdig geregistreerd door het Cisco Talos team. Avast stelt dat de dreiging die uitging van de malware door deze twee acties is weggenomen.
Meer over
Lees ook
Proofpoint: Noord-Koreaanse hackers stelen miljarden aan cryptocurrency
TA444, een staatsgesponsorde hackersgroep uit Noord-Korea is waarschijnlijk belast met het genereren van inkomsten voor het Noord-Koreaanse regime. Deze aanvallen overlappen met APT38, Bluenoroff, BlackAlicanto, Stardust Chollima en COPERNICIUM. In het verleden waren de pijlen gericht op banken om uiteindelijk geld door te sluizen naar andere dele1
Onderzoek Venafi onthult bloeiende ransomware-marktplaats op het dark web
Venafi maakt de resultaten bekend van een dark web-onderzoek naar ransomware die via kwaadaardige macro's wordt verspreid. Venafi en Forensic Pathways, een specialist in criminele inlichtingen, hebben tussen november 2021 en maart 2022 35 miljoen dark web-URL's geanalyseerd van marktplaatsen en forums, met behulp van de Forensic Pathways Dark Sear1
Proofpoint: Cybercriminelen bereiden zich voor op een wereld zonder macro's
Microsoft kondigde in oktober 2021 en februari 2022 aan dat het XL4- en VBA-macro's standaard gaat blokkeren voor Office-gebruikers. De wijzigingen zijn uiteindelijk dit jaar van start gegaan. Cybercriminelen hebben hier op gereageerd door af te stappen van macro-gebaseerde aanvallen.