Công ty phát triển ứng dụng quét tập tin nổi tiếng CCleaner cho biết hacker đã thành công trong việc tấn công vào mạng của họ.
Hậu quả của đợt tấn công này là 2 phiên bản CCleaner đã bị thay đổi, gây ảnh hưởng đến 3% người dùng của Piriform.
Cụ thể phiên bản 32 bit của hai chương trình CCleaner 5.33.6162 và CCleaner Cloud 1.07.3191 đã bị chèn mã độc và phân phối qua hạ tầng của Piriform.
Để an toàn cho người dùng, Piriform yêu cầu người dùng cần cập nhật phần mềm mới nhất của CCleaner là bản 5.34.
Phiên bản CCleaner 5.33.6162 được công bố vào ngày 15/8 năm nay, và bản cập nhật – chưa bị hacker chèn mã độc – được giới thiệu vào ngày 12/9. Trong khi đó bản CCleaner Cloud 1.07.3191 ra mắt vào ngày 24/8, bản cập nhật là ngày 15/9/2017.
Các nhà nghiên cứu về an ninh Talos thuộc Cisco đã tiết lộ chi tiết về cuộc tấn công. Talos Group đã thông báo tình hình cho Avast, công ty mẹ của Piriform.
Talos Group cho biết họ dò ra “một thực thi cụ thể” trong quá trình thử nghiệm công cụ khai thác mới của công ty, phát hiện trình cài đặt CCleaner 5.33 được phân phối bởi các máy chủ hợp pháp.
Tập tin thực thi tải xuống đã được ký với chữ ký hợp lệ của Piriform. Trình cài đặt chứa một “payload độc hại có tính năng Domain Generation Algorithm” (Thuật toán sinh tên miền ngẫu nhiên) cũng như chức năng “Command and Control” đã được mã hoá.
Các nhà nghiên cứu của nhóm Talos kết luận rằng payload độc hại đã được phân phối trong thời gian giữa phiên bản 5.33 (ngày 15/8) và phiên bản 5.34 vào ngày 12/9/2017.
Họ cho biết có thể “kẻ tấn công bên ngoài đã xâm nhập một phần” trong việc phát triển của Piriform, và sử dụng quyền truy cập để chèn phần mềm độc hại vào bộ CCleaner. Một lựa chọn khác mà các nhà nghiên cứu xem xét là một nội gián bao gồm mã độc hại.
Người dùng CCleaner cần đảm bảo rằng phiên bản bị xâm nhập không có trên hệ thống của mình có thể quét nó trên Virustotal hoặc bằng ClamAV, nó là phần mềm chống virus duy nhất phát hiện ra mối đe dọa này.
Mã payload độc hại này tạo một khoá Registry ở địa chỉ: HKLM\SOFTWARE\Piriform\Agomo: và dùng nó để lưu nhiều thông tin khác nhau. Piriform đã đăng một thông báo vào ngày 18/9, cho biết những thông tin không nhạy cảm có thể được truyền đến máy chủ ở Mỹ, bao gồm tên máy tính, địa chỉ IP, danh sách những phần mềm đã cài đặt, đang hoạt động, danh sách adapter mạng.
Tháng 11/2016, CCleaner đã có 2 tỷ lượt tải với tốc độ tăng trưởng là 5 triệu người dùng mỗi tuần. CCleaner là phần mềm cho phép người dùng thực hiện bảo trì định kì trên máy tính. Nó sẽ xóa file tạm thời gây nặng ổ đĩa, phân tích hệ thống để tối ưu hóa nhằm chạy hiệu quả hơn.
CCleaner do Piriform tại London phát triển, được Avast – một trong những nhà cung cấp biện pháp bảo mật mạng và máy tính mua lại hồi tháng 7 vừa qua. TheHackerNews ước lượng có khoảng 2,3 triệu máy tính bị ảnh hưởng bởi vụ tấn công này.
Tham khảo: ghacks