Nacionalni CERT

Otkriven backdoor alat u aplikaciji CCleaner

Korisnicima aplikacije CCleaner za operacijski sustav Windows savjetovano je nadograđivanje zato što je u spomenutoj aplikaciji otkriven backdoor alat. Ovaj alat omogućava preuzimanje raznog zlonamjernog sadržaja na računalo, poput keyloggera ili ransomwarea, a trenutno se procjenjuje kako broj kompromitiranih računala prelazi više milijuna. Prema riječima Avasta, tvrtke iza aplikacije CCleaner, 2,27 milijuna korisnika na računalu ima kompromitiranu inačicu, ali napominju kako nema razloga za paniku.

Aplikacija CCleaner je veoma popularna aplikacija za održavanje računala i do sada je preuzete više od 2 milijarde puta, a prema riječima Avasta, svakog tjedna se preuzima 5 milijuna inačica što ovu prijetnju čini veoma ozbiljnom upravo zbog globalne popularnosti ove aplikacije.

Detaljnom analizom je ustanovljeno kako je prva kompromitirana inačica objavljena još 15. kolovoza te se širila sve do 12. rujna kada je postavljena nova, ispravna inačica.

Sam bi zlonamjerni sadržaj u aplikaciji slao šifrirane informacije o zaraženom računalu poslužitelju napadača. Informacije su se sastojale od imena računala, pokrenutih procesa te instaliranih aplikacija. Specifičnost ovog zlonamjernog sadržaja je i korištenje algoritma za generiranje domena (DGA), funkcionalnosti koja omogućava stvaranje novih domena nakon što su postojeće domene napadača uklonjene.

Prema riječima tvrtke Piriform, koja je u vlasništvu Avasta, sporne su inačice kompromitirane prije objave, a trenutno je u procesu istraga kojom se želi utvrditi kako je do kompromitacije došlo. Nakon što je zlonamjerni sadržaj otkriven, Piriform je putem automatske nadogradnje svim pogođenim korisnicima isporučio ispravnu inačicu te, prema službenoj izjavi, nikakva šteta nije prouzročena te je prijetnja pravovremeno uklonjena. Također, iz Avasta tvrde kako napad nije izvršen do kraja i kako je vjerojatno uspješno provedena samo prva faza napada, tj. postavljanje backdoor alata na računala putem aplikacije CCleaner. Druga faza, preuzimanje zlonamjernog sadržaja na računalo nije izvedeno, a svim se korisnicima savjetuje da nadograde svoju inačicu putem službene stranice Piriforma.

 

18.09.2017