הורדתם את CCleaner בחודש האחרון? קיבלתם מתנה לא רצויה
האקרים הצליחו להחדיר תוכנה זדונית לעדכון של תוכנת ניקוי המחשב הפופולרית; הגרסה הנגועה זכתה ל-2.27 מיליון הורדות
האקרים הצליחו להחדיר תוכנה זדונית לתוכנה פופולרית לשיפור ביצועי המחשב, כך נכתב בדו"ח שפרסמו היום (שני) חוקרי אבטחה מקבוצת Cisco Talos. על פי דיווח ברויטרס, התוכנה הזדונית הדביקה יותר משני מיליון משתמשים בעדכון תוכנת CCleaner של חברת Piriform הבריטית.
"זו דוגמה חשובה למאמצים שתוקפים מוכנים להשקיע בניסיונם להפיץ תוכנות זדוניות לארגונים ומסביב לעולם", כתבו בטאלוס. "תוקפים יכולים ליהנות מהאמון של משתמשים בקבצים ובשרתים המשמשים להפצת עדכונים".
פיריפורם נרכשה רק לפני כחודשיים בידי Avast, חברת אבטחת מידע שמפתחת אנטי וירוס פופולרי. בדיווח ברויטרס צויין כי CCleaner זוכה לכ-5 מיליון הורדות מדי שבוע בממוצע. בפוסט של טאלוס הם ציינו כי בנובמבר 2016 CCleaner התפארה כי מספר ההורדות הכולל של התוכנה עמד אז על יותר משתי מיליארד.
דוברת פיריפורם אמרה כי הגרסה הנגועה זכתה לכ-2.27 מיליון הורדות.
החוקרים של Cisco Talos גילו כי התוקפים הצליחו להשתיל תוכנה זדונית בשרת העדכונים של פיריפורם, כך שכל מי שהוריד את התוכנה או השתמש בגרסת הענן שלה בעצם נפגע מהווירוס. לדבריהם, ההדבקה אירעה בגרסת התוכנה שיצאה ב-15 באוגוסט והיתה זמינה להורדה עד ה-12 בספטמבר. פיריפורם אישרה כי CCleaner v5.33.6162 סבלה מההדבקה, והיא אף הוסיפה כי גם גרסת הענן, CCleaner Cloud v1.07.3191, נפגעה.
בטאלוס כתבו כי התוכנה הזדונית הופעלה רק אם התקיימו כמה תנאים, החשוב בהם הוא ההרשאות של המשתמש. אם היא גילתה כי המשתמש אינו מחזיק בהרשאות מנהל (administrator), התוכנה הזדונית הפסיקה את פעולתה.
הגרסה הנגועה מחליפה את תהליך ההתקנה הרגיל ויצרה קשר עם שרתי שליטה והבקרה של הווירוס, והעבירה אליהם מידע על המחשב המודבק, שכלל בין היתר את רשימת התוכנות המותקנות, כולל עדכוני ווינדוס. בנוסף, בפיריפורם ציינו כי התוכנה הורידה קובץ נוסף, ככל הנראה השלב השני של הווירוס, ואולם, על פי העדכון, נראה שהשלב השני לא הופעל, והשרת הוסר "לפני שנגרם נזק".