Legitieme versie van CCleaner blijkt malware te bevatten
Een tweetal legitieme versie van CCleaner blijken enige tijd malware te hebben bevat. Het gaat om de 32-bit versie van v5.33.6162 van CCleaner en v1.07.3191 van CCleaner Cloud. De malafide 32-bit versie van CCleaner werd aangeboden via de officiële downloadserver van Piriform, de ontwikkelaar van CCleaner.
De malware is ontdekt door Talos, de Threat Intelligence-divisie van Cisco. Onderzoekers troffen de malware aan tijdens het testen van een betaversie van nieuwe exploit detectietechnologie van het bedrijf. Hieruit bleek dat het officiële installatiebestand van CCleaner 5.33 niet alleen CCleaner installeerde, maar ook een malafide payload bevatte. Deze payload bestond uit een Domain Generation Algorithm (DGA) en een hardcoded Command & Control functionaliteit.
Langere tijd beschikbaar
Piriform meldt dat de aangetaste versie van CCleaner v5.33.6162 is vrijgegeven op 15 augustus en tot 12 september beschikbaar is geweest via de downloadserver van het bedrijf. CCleaner Cloud v1.07.3191 is vrijgegeven op 24 augustus en is op 15 september vervangen door een nieuwe versie waarin de gecompromitteerde code niet aanwezig is. Piriform stelt dat door de aanval niet-gevoelige data van gebruikers kan zijn uitgelekt. Het gaat hierbij ondermeer om de naam van hun computer, IP-adres, een overzicht van geïnstalleerde software, een lijst met actieve software en een overzicht van aanwezige netwerkadapters. Het bedrijf stelt geen aanwijzingen te hebben dat andere data is buitgemaakt.
De malafide versie van CCleaner v5.33.6162 was ondertekend met een geldig certificaat dat door Symantec is verstrekt aan Piriform Ltd. Ondermeer op basis hiervan concludeert Talos dat aanvallers vermoedelijk toegang hebben gehad tot een deel van de ontwikkelomgeving van CCleaner en deze toegang hebben misbruikt om malware te injecteren in de CCleaner build die door de officiële organisatie is vrijgegeven.
Onderzoek
Piriform geeft aan samen te werken met Amerikaanse opsporingsinstanties om de aanval te onderzoeken. Ook biedt het bedrijf zijn excuses aan aan getroffen klanten. Het bedrijf adviseert gebruikers van de 32-bit versie van CCleaner v5.33.6162 zo snel mogelijk de nieuwste versie van de software te installeren, waarin de gecompromitteerde code niet aanwezig is. De malware is inmiddels niet meer aanwezig in CCleaner Cloud.
Dossiers
Meer over
Lees ook
Onderzoek WatchGuard: sterke stijging evasive malware
Het gebruik van malware dat detectiemethoden probeert te omzeilen (‘evasive malware’) is het laatste kwartaal van 2023 fors gestegen. Daarnaast hebben hackers het steeds vaker voorzien op Exchange-mailservers. Het aantal ransomwarebesmettingen blijft wel verder afnemen, waarschijnlijk door diverse internationale inspanningen.
Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers
Onderzoekers van Proofpoint nemen sinds kort nieuwe activiteit waar van de aan Iran gelinkte dreigingsactor TA450. Deze dreigingsactor is ook bekend als MuddyWater, Mango Sandstorm en Static Kitten.
Zerto: Afsluiten van cyberverzekeringen lastiger vanwege toenemende complexiteit en regelmaat van aanvallen
Zerto, een dochteronderneming van Hewlett Packard Enterprise, ziet voor 2024 drie belangrijke trends rond cybersecurity en het dreigingslandschap. De eerste is dat de toenemende complexiteit en regelmaat van cyberaanvallen het steeds moeilijker zullen maken voor bedrijven om een goede cyberverzekering af te sluiten. De tweede trend die Zerto opmer1