Невідомі зловмисники впровадили шкідливий код в популярну утиліту CCleaner.
За даними розробника, скомпрометовані версії CCleaner – Piriform CCleaner v5.33.6162 і CCleaner Cloud v1.07.3191 – були доступні для завантаження з 15 по 24 серпня 2017 року. Передбачається, що інцидент торкнувся близько трьох відсотків користувачів програми або близько 2,3 мільйона чоловік.
Як повідомили експерти дослідницького ІБ-підрозділу Cisco Talos, CCleaner була зараженою шкідливою програмою Floxif. Програма збирала дані про інфіковані пристрої, відправляла їх на командний сервер. Також програма могла завантажувати і запускати сторонні бінарні файли.
Творець програми утиліти, компанія Piriform, підтвердила, що скомпрометовані версії додатків відправляли дані на розміщений в США сервер. Вони відправляли імена та IP-адреси комп’ютерів, список встановленого і використовуваного програмного забезпечення та перелік мережевих адаптерів.
Floxif
Вірус був присутній лише в 32-бітній версії 5.33.6162 та 1.07.3191, і припиняв роботу, якщо користувач не працював під акаунтом з правами адміністратора.
У Piriform відзначили, що дізнавшись про факт компрометації 12 вересня. Компанія видалила заражені версії і в період з 13 по 15 вересня випустила оновлення v5.34 і v1.07.3214 без шкідливого коду. Розробник направив користувачам повідомлення про необхідність замінити версію ПО. В хмарному сервісі програми оновлення було встановлено автоматично.
За запитом Piriform правоохоронні органи США заблокували сервер, на який відправлялися збираються вірусом дані. У компанії вибачилися за те, що сталося і запевнили, що ніякої шкоди в результаті інциденту заподіяно не було. Piriform вживає заходів для недопущення подібного.
У той же час ІБ-експерт зазначив, що розробники виявили шкідливе ПО на початковій стадії. Тоді тільки йшов збір даних, тому ніяких додаткових файлів вірус ще не встановив.
В даний час Piriform спільно з американськими правоохоронцями веде розслідування, з’ясовуючи, хто стоїть за атакою.