Гиперпопулярный «чистильщик» для Windows заражает компьютеры вредоносным ПО
CCleaner, средство очистки систем под Windows, оказалось скомпрометировано, и как минимум одна его версия распространялась вместе с вредоносным ПО.Потенциальных жертв – два миллиарда
Почти месяц с официальных серверов распространялась скомпрометированная версия гиперпопулярной утилиты CCleaner, дополненная вредоносными компонентами.
CCleaner используется для очистки системного реестра Windows, удаления временных и прочих неиспользуемых файлов. Количество пользователей бесплатной версии CCleaner достигает двух миллиардов человек.
13 сентября 2017 г. эксперты компании Talos обнаружили исполняемый файл, на который среагировали их системы противодействия вредоносному ПО. Оказалось, что речь идет об инсталляторе CCleaner v5.33, скачанном с официального сервера. Разработкой программы занимается компания Piriform, недавно купленная антивирусной компанией Avast.
При более внимательном изучении инсталлятора выяснилось, что помимо самой утилиты CCleaner в нем было спрятан вредоносный модуль, оснащенный алгоритмом генерации доменных имен (Domain Generation Algorithm) и функциями взаимодействия с командными серверами.
Версия 5.33, согласно данным с сайта разработчиков, была выпущена 15 августа 2017 г. и распространялась до 12 сентября, то есть до момента выпуска версии 5.34.
Скомпрометирована среда разработки?
Зараженная версия была подписана легитимным сертификатом от Symantec со сроком действия до 10.10.2018. Позднее был найден еще один вредоносный сэмпл, подписанный аналогичным сертификатом на 15 минут позже.
По мнению экспертов Talos, ряд признаков (в том числе, артефакты исходного кода) указывают на то, что злоумышленники смогли скомпрометировать часть среды разработки или компиляции и «дополнили» CCleaner вредоносным содержимым. Рассматриваются также варианты с инсайдерской атакой или взломом аккаунта кого-то из разработчиков с последующим внедрением вредоносных модулей.
Интересно, что версия 5.33 с официальных серверов уже удалена. Авторы публикации в блоге Talos не уточняют, когда именно эта версия исчезла: до или после того, как Avast был проинформирован о взломе.
Закладка на будущее
Публикация Talos в подробностях объясняет, какие операции осуществляет перехваченное вредоносное ПО в процессе установки в систему: в частности, программа предпринимает ряд шагов, нацеленных на предотвращение своего запуска в средах отладки и запускается только в том случае, если текущий пользователь - системный администратор.
Затем она собирает данные о системе и пытается найти командные серверы. Если запрос на первичный сервер остается без ответа, запускается DGA-алгоритм, с помощью которого генерируется список возможных вредоносных доменов. К ним направляются DNS-запросы; ожидается, что ответы будут содержать сразу два IP-адреса, комбинация из которых станет IP-адресом нового управляющего сервера.
На этот сервер направляются собранные данные о системе, после чего вредоносная программа ждет новых инструкций или данных.
В публикации Talos не указывается, какие именно вредоносные действия, помимо установки в систему и установления связи с командными серверами, способна совершать программа.
«По всей видимости, компоненты, способные нанести реальный вред, досылаются с командных серверов, в соответствии с теми данными, которые собираются локально», - полагает Роман Гинятуллин, эксперт по безопасности компании SEC Consult Services. - «Затея выглядит беспроигрышной, учитывая популярность CCleaner и, соответственно, уровень доверия к разработчикам этой программы. Доверия, которого они в этот раз не смогли оправдать».
Talos отмечает, что сразу после появления версии 5.33 началась активная отправка запросов к DGA-доменам, генерируемым вредоносной программой. Эксперты Talos обнаружили, что в действительности такие домены так и не были зарегистрированы злоумышленниками, зарегистрировали их сами и превратили их в sinkhole-ловушки.
Жертвам вредоносной программы – тем, кто устанавливал CCleaner 5.33, настоятельно рекомендуется «откатить» систему до состояния перед 12 августа 2017 г.