Δεύτερο κακόβουλο λογισμικό μέσα στο CCleaner

Πριν λίγες μέρες σας είχαμε ενημερώσει πως το γνωστό πρόγραμμα καθαρισμού υπολογιστή CCleaner φύλαγε ένα κακόβολο πρόγραμμα στα σπλάχνα του. Η αναγνώριση έγινε από την Talos, η ίδια εταιρία που βρήκε και την πρώτη απειλή. Αυτή την φορά το κακοήθες backdoor είναι πιο σοβαρό, αφού σύμφωνα με την Talos, το άτομο πίσω από το εγχείρημα αυτό στόχευε μεγάλες εταιρίες πολύ πιθανόν για να κλέψει πνευματική ιδιοκτησία. Ανάμεσα στις εταιρίες βρίσκονται οι HTC, Samsung, Sony, Intel, Microsoft, Cisco, Google και Vodafone.

Μέσα στον κώδικα υπάρχουν εντολές για να αποσταλούν πληροφορίες σε συγκεκριμένο server, όπως την έκδοση του λειτουργικού, την αρχιτεκτονική του συστήματος, εάν ο χρήστης είναι διαχειριστής καθώς και άλλα δεδομένα. Ο server, μετά από έρευνα της Talos, έχει ρυθμιστεί να ακολουθεί την ζώνη ώρας της Κίνας, όμως αυτό δεν αποτελεί στοιχείο για την καταγωγή των εισβολέων. Παράλληλα, οι πληροφορίες που συλλέχθηκαν από το σύστημα περιείχαν μια λίστα με τα εγκατεστημένα προγράμματα και τις εκτελούμενες διαδικασίες, που ανάμεσα τους υπήρχε και το CCleaner.exe. Στην συνέχεια, το προφίλ αυτό αποθηκευόταν σε μια MySQL βάση δεδομένων. Τέλος, μια λειτουργία αποφασίζει αν θα συνεχίσει στην δεύτερη φάση με την αποστολή νέου φορτίου, στα συστήματα που πληρούν τα κριτήρια. Στην βάση δεδομένων, πάνω από 700.000 σταθμοί έστειλαν πληροφορίες στον απομακρυσμένο server από τις 12 μέχρι και τις 16 Σεπτεμβρίου, ενώ μόνο 20 δέχτηκαν το δεύτερο φορτίο σαν απάντηση. Είναι λογικό η λίστα με τις εταιρίες-στόχους να αλλάζει περιοδικά για να στοχεύουν διαφορετικούς οργανισμούς.

Μέσα στην βάση δεδομένων βρέθηκαν 540 επηρεασμένα συστήματα από κυβερνήσεις και 51 από τράπεζες. Η Talos έχει βρει 20 εταιρίες που έχουν δεχθεί το δεύτερο φορτίο από το malware και έχει επικοινωνήσει μαζί τους για να τους γνωστοποιήσει την απειλή. Στην συνέχεια, το φορτίο ελέγχει την έκδοση του συστήματος και εγκαθιστά το ανάλογο εκτελέσιμο αρχείο. Το αρχείο μορφοποιεί την registry (αρχείο καταγραφής) των Windows και εκτελεί περαιτέρω λειτουργίες από εκεί. Ο λόγος που γίνεται αυτό είναι για να είναι δυσκολότερο να ανιχνευτεί από τα προγράμματα προστασίας, αφού τα εκτελέσιμα αρχεία ποτέ δεν αποθηκεύονται στο αρχείο του συστήματος.

Πλέον, μια απεγκατάσταση ή αναβάθμιση στην τελευταία έκδοση του CCleaner δεν εγγυάται ότι θα αφαιρέσει και το malware. Αυτό που οφείλουν να κάνουν οι χρήστες με μολυσμένο υπολογιστή είναι επαναφορά συστήματος σε μια μορφή πριν τις 15 Αυγούστου για να είναι σίγουροι ότι έχουν αφαιρέσει την κερκόπορτα από το σύστημα τους. Σαν ένα μέτρο ασφαλείας, η Avast έχει αλλάξει την ψηφιακή υπογραφή του CCleaner. Απειλές που δεν κατανοούνται πλήρως από τα θύματα είναι πιο επικίνδυνες, ειδικά όταν περνάνε απαρατήρητες για μεγάλο χρονικό διάστημα.

Μείνετε συντονισμένοι για περισσότερα νέα.

More Stories
Η Nordic Games ανακοίνωσε το Darksiders: Warmastered Edition