Malware aangetroffen in legitieme versie van CCleaner

malware

Een tweetal legitieme versie van CCleaner blijken enige tijd malware te hebben bevat. Het gaat om de 32-bit versie van v5.33.6162 van CCleaner en v1.07.3191 van CCleaner Cloud. De malafide 32-bit versie van CCleaner werd aangeboden via de officiële downloadserver van Piriform, de ontwikkelaar van CCleaner.

De malware is ontdekt door Talos, de Threat Intelligence-divisie van Cisco. Onderzoekers troffen de malware aan tijdens het testen van een betaversie van nieuwe exploit detectietechnologie van het bedrijf. Hieruit bleek dat het officiële installatiebestand van CCleaner 5.33 niet alleen CCleaner installeerde, maar ook een malafide payload bevatte. Deze payload bestond uit een Domain Generation Algorithm (DGA) en een hardcoded Command & Control functionaliteit.

Langere tijd beschikbaar

Piriform meldt dat de aangetaste versie van CCleaner v5.33.6162 is vrijgegeven op 15 augustus en tot 12 september beschikbaar is geweest via de downloadserver van het bedrijf. CCleaner Cloud v1.07.3191 is vrijgegeven op 24 augustus en is op 15 september vervangen door een nieuwe versie waarin de gecompromitteerde code niet aanwezig is. Piriform stelt dat door de aanval niet-gevoelige data van gebruikers kan zijn uitgelekt. Het gaat hierbij ondermeer om de naam van hun computer, IP-adres, een overzicht van geïnstalleerde software, een lijst met actieve software en een overzicht van aanwezige netwerkadapters. Het bedrijf stelt geen aanwijzingen te hebben dat andere data is buitgemaakt.

De malafide versie van CCleaner v5.33.6162 was ondertekend met een geldig certificaat dat door Symantec is verstrekt aan Piriform Ltd. Ondermeer op basis hiervan concludeert Talos dat aanvallers vermoedelijk toegang hebben gehad tot een deel van de ontwikkelomgeving van CCleaner en deze toegang hebben misbruikt om malware te injecteren in de CCleaner build die door de officiële organisatie is vrijgegeven.

Onderzoek

Piriform geeft aan samen te werken met Amerikaanse opsporingsinstanties om de aanval te onderzoeken. Ook biedt het bedrijf zijn excuses aan aan getroffen klanten. Het bedrijf adviseert gebruikers van de 32-bit versie van CCleaner v5.33.6162 zo snel mogelijk de nieuwste versie van de software te installeren, waarin de gecompromitteerde code niet aanwezig is. De malware is inmiddels niet meer aanwezig in CCleaner Cloud.

Meer over
Lees ook
Nieuwe versies FinSpy spionagesoftware in omloop

Nieuwe versies FinSpy spionagesoftware in omloop

Kaspersky-experts hebben nieuwe versies ontdekt van de geavanceerde kwaadaardige spionagetool FinSpy. Deze varianten werken op iOS en Android-apparatuur en zijn in staat activiteiten te volgen van zo goed als alle populaire berichtendiensten ondanks versleuteling. De nieuwe FinSpy versies wissen bovendien hun sporen beter uit dan vorige versies. Zo...

Mac-malware en webapplicatie-exploits winnen aan populariteit

Mac-malware en webapplicatie-exploits winnen aan populariteit

De dreiging van malware groeit, zo blijkt uit de nieuwste editie van het Internet Security Report van WatchGuard Technologies. De securityspecialist detecteerde in het eerste kwartaal van 2019 maar liefst 62 procent meer malware dan in het kwartaal daarvoor. Cybercriminelen maken gebruik van een breed scala aan aanvalstechnieken, waaronder schadelijke...

Cyber Defence moet innovatie versnellen

Cyber Defence moet innovatie versnellen

Wat meer optimisme over onze weerbaarheid voor cyberaanvallen is goed voor Nederland, vindt Roel van Rijsewijk, directeur Cyber Defence bij Thales. Het is ook goed dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid onlangs in het Cybersecuritybeeld Nederland 2019 opnieuw de noodklok luidde over de kwetsbaarheid van de Nederlandse...