Malware aangetroffen in legitieme versie van CCleaner
Een tweetal legitieme versie van CCleaner blijken enige tijd malware te hebben bevat. Het gaat om de 32-bit versie van v5.33.6162 van CCleaner en v1.07.3191 van CCleaner Cloud. De malafide 32-bit versie van CCleaner werd aangeboden via de officiële downloadserver van Piriform, de ontwikkelaar van CCleaner.
De malware is ontdekt door Talos, de Threat Intelligence-divisie van Cisco. Onderzoekers troffen de malware aan tijdens het testen van een betaversie van nieuwe exploit detectietechnologie van het bedrijf. Hieruit bleek dat het officiële installatiebestand van CCleaner 5.33 niet alleen CCleaner installeerde, maar ook een malafide payload bevatte. Deze payload bestond uit een Domain Generation Algorithm (DGA) en een hardcoded Command & Control functionaliteit.
Langere tijd beschikbaar
Piriform meldt dat de aangetaste versie van CCleaner v5.33.6162 is vrijgegeven op 15 augustus en tot 12 september beschikbaar is geweest via de downloadserver van het bedrijf. CCleaner Cloud v1.07.3191 is vrijgegeven op 24 augustus en is op 15 september vervangen door een nieuwe versie waarin de gecompromitteerde code niet aanwezig is. Piriform stelt dat door de aanval niet-gevoelige data van gebruikers kan zijn uitgelekt. Het gaat hierbij ondermeer om de naam van hun computer, IP-adres, een overzicht van geïnstalleerde software, een lijst met actieve software en een overzicht van aanwezige netwerkadapters. Het bedrijf stelt geen aanwijzingen te hebben dat andere data is buitgemaakt.
De malafide versie van CCleaner v5.33.6162 was ondertekend met een geldig certificaat dat door Symantec is verstrekt aan Piriform Ltd. Ondermeer op basis hiervan concludeert Talos dat aanvallers vermoedelijk toegang hebben gehad tot een deel van de ontwikkelomgeving van CCleaner en deze toegang hebben misbruikt om malware te injecteren in de CCleaner build die door de officiële organisatie is vrijgegeven.
Onderzoek
Piriform geeft aan samen te werken met Amerikaanse opsporingsinstanties om de aanval te onderzoeken. Ook biedt het bedrijf zijn excuses aan aan getroffen klanten. Het bedrijf adviseert gebruikers van de 32-bit versie van CCleaner v5.33.6162 zo snel mogelijk de nieuwste versie van de software te installeren, waarin de gecompromitteerde code niet aanwezig is. De malware is inmiddels niet meer aanwezig in CCleaner Cloud.
Meer over
Lees ook
Microsoft Defender Suite en een SOC houden remote werknemers veilig
Nu de behoefte aan veilig werken exponentieel toeneemt, is het beveiligen van externe en hybride werknemers een steeds groter probleem geworden. Voorheen gebruikten bedrijven beveiliging architecturen die gebaseerd waren op het beschermen van medewerkers die werkzaam waren in on-premises kantooromgevingen.
CISO’s dragen bij aan de algehele strategie voor risicobeheer
CISO’s dragen bij aan de algehele strategie voor risicobeheer Bedrijven rekenen erop dat betrouwbare en veilige IT hun processen ondersteunt. Hoewel IT lang werd gezien als een operationele kostenpost is het inmiddels onlosmakelijk verbonden met de manier waarop bedrijven werken.
WatchGuard: Remote Access Software steeds vaker misbruikt
Hackers hebben hun pijlen steeds vaker gericht op Remote Access Software. Daarnaast zijn er nieuwe technieken in omloop voor het stelen van wachtwoorden en informatie. Ook maken cybercriminelen de overstap van het gebruik van scripts naar het toepassen van andere ‘living-off-the-land’-technieken om een aanval op eindpoints te starten. Dat conclude1