هکرها یک بدافزار به اپلیکیشن محبوب CCleaner وارد کردند

هم رسان: محققان امنیتی پس از شناسایی یک حمله پیشرفته که بدافزار را وارد برنامه بهینه ساز عملکرد بسیار محبوب می‌کند، به کاربران این نرم افزار تاکید کردند هر چه زودتر جدیدترین نسخه از این ابزار را دانلود کنند.

به گزارش پایگاه خبری هم رسان به نقل از اینفوسکیوریتی، شرکت Cisco Talos طی آزمایش نسخه بتای ابزار امنیتی خود کد مخربی را در نسخه 32 بیتی نصب کننده CCleaner 5.33 محصول شرکت Piriform که اکنون بخشی از Avast است، مشاهده کردند.
ابن نسخه شناسایی شده توسط Cisco به هیچ وجه یک اپلیکیشن CCleaner جعلی نبود بلکه یک نسخه قانونی بود و با یک گواهی دیجیتالی معتبر امضا شده بود.
کارشناسان این شرکت این طور توضیح می‌دهند: «این احتمال وجود دارد که یک هکر خارج از سازمان بخشی از محیط توسعه و یا ساخت را دستکاری کرده و از این دسترسی برای وارد کردن بدافزار به نسخه بیلد CCleaner استفاده کرده باشد که این نسخه توسط سازمان منتشر و میزبانی می‌شود.

همچنین این احتمال وجود دارد که فردی از درون سازمان که امکان دسترسی به محیط‌های ساخت یا توسعه را داشته از روی قصد این کد مخرب را وارد برنامه کرده باشد و یا اینکه یک حساب کاربری (یا هر چیز مشابه دیگری) دستکاری شده در اختیار داشته که به مهاجم امکان وارد کردن کد را فراهم کرده است.»
در صورت درست بودن این فرضیه‌ها، می‌توان گفت روش کار هکرها یادآور روش انتشار NotPetya است که مهاجمان توسط این بدافزار نرم افزار حسابداری Ukrainian را در مبدأ مورد هدف قرار دادند.
Cisco Talos معتقد است این احتمال وجود دارد که بخش‌هایی از فرایند تائید و امضاء برای گواهی مورد بحث نیز دستکاری شده باشد. او ادعا می‌کند این گواهی باید لغو شده و فاقد اعتبار اعلام شود.
همچنین کارشناسان شرکت اضافه می‌کنند:» در زمان ایجاد یک گواهی جدید، برای اطمینان از اینکه مهاجمان هیچ گونه جایگاه ثابتی در داخل محیط برای دستکاری گواهی ندارند، باید مراقبت‌های زیادی در دستور کار قرار بگیرد. تنها فرایند پاسخ دهی به این حادثه می‌تواند جزئیاتی درباره محدوده این مشکل و بهترین روش برخورد با این حادثه ارائه دهد.»
این بدافزار مورد بحث تنها در یک حساب ادمین کار می‌کند و اطلاعات سیستم از قبیل نام رایانه، آی پی آدرس، فهرستی از نرم افزارهای نصب شده، فهرستی از نرم افزارهای فعال و فهرستی از مبدل‌های شبکه را توصیف و جمع آوری می‌کند تا به سرورهای کنترل و فرمان مستقر در ایالات متحده آمریکا ارسال کند.
مهاجمان می‌توانند از دستگاه‌های آلوده برای هرگونه اهداف مخربی استفاده کنند زیرا در این بدافزار امکان دانلود و اجرای payload های دو مرحله‌ای وجود دارد که احتمالاً برای سرقت اطلاعات شخصی و مالی استفاده می‌شوند. سیسکو در روز دوشنبه در یک پست وبلاگ هشدار داد که نرخ تشخیص نیز برای این تهدید بسیار پایین است (1/64).

CCleaner بیش از دو میلیارد بار در سراسر جهان دانلود شده و گفته شده پنج میلیون کاربر جدید هر هفته ثبت نام می‌کنند. هرچند مشخص نیست چند نفر از این تعداد نسخه مخرب را دانلود کرده‌اند. Piriform اعلام کرد ممکن است 3 درصد از پایگاه کاربری بزرگ این شرکت دستکاری شده باشد.
این احتمال وجود دارد گسترش این بدافزار در نتیجه مداخله زودهنگام سیسکو و اقدام سریع Piriform/Avast در خاموش کردن سرور کنترل و فرمان مورد بحث و همچنین انتشار یک نسخه به روزرسانی شده از برنامه آلوده یعنی CCleaner 5.34 محدود شده باشد.
سیسکو تاکید کرد: «سیستم‌های آلوده باید اصلاح و یا مجدداً نصب شوند. کاربران باید برنامه را به جدیدترین نسخه موجود از CCleaner به روزرسانی کنند تا از آلودگی جلوگیری شود.»