Кибер злодеи испортили CCleaner 5.33 версию

Вредоносная программа маскируется под антивирусом

CCleaner, широко известный и популярный инструмент для очистки компьютеров от рекламного ПО и других видов вредоносного ПО, поддерживающий оптимизирующие процессы, не смог избежать нападения кибер преступников. Все пользователи, скачавшие версию 5.33 с 15 августа по 12 сентября, рисковали заразиться паразитом Floxif.

Более 2 миллионов пользователей в США, России и Западной Европе, вероятно, пострадали из-за значительной популярности программного обеспечения в этих странах и регионах. Хотя пострадали только 32-битные системы, всем пользователям рекомендуется обновить программное обеспечение до последних версий.

Что делает Floxif вирус?

ИТ-исследователи обнаружили, что Floxif вирус собирает данные о технических характеристиках жертвы и передает их на удаленный командный сервер. Исследователи Cisco Talos, которые обнаружили поврежденную версию, также обнаружили, что вредоносное ПО выполняет запросы к конкретному IP-адресу 216.126.225.148.

В начале, испорченная версия не вызывала подозрений, поскольку она была написана действительной цифровой подписью. Таким образом, вредоносное ПО было доставлено как предполагаемая 5.33 версия, опубликованная Piriform (оригинальным разработчиком угрозы, теперь принадлежащей Avast).

Кроме того, инфекция встроенная в программное обеспечение, ожидает 601 секунду до выполнения. Это было сделано, чтобы избежать песочницы. Интересно, что Floxif вирус запускается только в системе с правами администратора.

После загрузки и запуска процесса обновления, вредоносное ПО обнаруживает и заменяет существующий CBkdr.dll идентичным, но испорченным вариантом. Помимо отслеживания информации, а затем ее передачи на сервер, инфекция не проявляла никакого другого поведения.

Специалисты по кибербезопасности подозревают, как вредоносному ПО удалось преодолеть систему обнаружения вредоносных программ Avast. Некоторые предполагают, что преступник, возможно, общался с инсайдером, имеющим доступ к разработке программы.

Безопасно ли загружать CCleaner теперь?

Хотя установщики 5.33 версии все еще доступны, вредоносное ПО успешно устранено. 13 сентября Avast опубликовал версию 5.34.

Хотя обычные пользователи не имели шансов предотвратить это вторжение, так как инструмент позиционировался как легитимная версия, они могут найти следующий совет полезным:

• хранить несколько различных средств предотвращения и устранения вредоносных программ
• загружать их с официальных сайтов и устанавливать последнюю версию сразу после ее публикации