Avast: ‘Ontwikkelomgeving van CCleaner was mogelijk sinds 3 juli gecompromitteerd’

  1. 19 sep 2017
  2. 0 reacties

pixabay-hacker-1944688_960_720

De ontwikkelomgeving van CCleaner was mogelijk al sinds 3 juli gecompromitteerd. Dit meldt Avast, de eigenaar van CCleaner ontwikkelaar Piriform. Het bedrijf baseert zich hierbij op de uitgiftedatum van een gebruikt SSL-certificaat. Avast spreekt van een zeer geavanceerde aanval, die nauwkeurig is voorbereid door de aanvallers.

Piriform en Cisco’s Talos Security Intelligence and Research Group meldden maandag 18 september dat malware is aangetroffen in twee legitieme versies van CCleaner. Het ging hierbij om 32-bit versie van v5.33.6162 van CCleaner en v1.07.3191 van CCleaner Cloud. De 32-bit versie van v5.33 van CCleaner werd aangeboden via de officiële downloadserver van Piriform.

2,27 miljoen keer geïnstalleerd

Avast meldt dat ongeveer 2,27 miljoen gebruikers de gewraakte 32-bit versie van CCleaner hebben geïnstalleerd. Een groot deel van deze gebruikers zou inmiddels hebben geüpdatet naar versie 5.34, waarin de malafide code niet aanwezig is. Op het moment van schrijven zou versie 5.33 nog door 730.000 gebruikers worden gebruikt. Avast adviseert deze gebruikers alsnog te updaten, al benadrukt het bedrijf dat de servers waarvan de malware gebruik maakt offline zijn gehaald en getroffen gebruikers hierdoor geen risico meer lopen.

Daarnaast meldt Avast op 12 september door het bedrijf Morphisec op de hoogte te zijn gebracht van de aanwezigheid van de malafide code in de software van Piriform. Avast vermoedt dat Morphisec ook Cisco op de hoogte heeft gesteld van het probleem, die hier vervolgens in een blogpost melding van heeft gemaakt. Cisco alarmeerde Avast vervolgens op 14 september. Avast benadrukt op dit moment de dreiging al te hebben geanalyseerd en Amerikaanse opsporingsinstanties te hebben ingeschakeld.

Command & Control-server

De Command & Control-server van de malware werd op 15 september offline gehaald door opsporingsinstanties. Secundaire domeinnamen die door de malware werden gebruikt zijn gelijktijdig geregistreerd door het Cisco Talos team. Avast stelt dat de dreiging die uitging van de malware door deze twee acties is weggenomen.

Meer over
Lees ook
'Bladabindi RAT infecteert 140.000 PC's per maand'

'Bladabindi RAT infecteert 140.000 PC's per maand'

De Bladabindi Remote Access Tool (RAT) blijkt snel in populariteit toe te zijn genomen. Cybercriminelen infecteerde in januari 2013 nog maar slechts zo'n 18.000 PC's. Dit aantal is in december 2013 toegenomen tot bijna 140.000 infecties per maand. Dit meldt Microsoft, dat zijn Malicious Software Removal Tool in het Windows-besturingssysteem heeft1

Kant-en-klare ransomware te koop voor slechts 100 dollar

Kant-en-klare ransomware te koop voor slechts 100 dollar

Een nieuwe vorm van ransomware is te koop op internet voor slechts 100 dollar. Het gaat om Power Locker, een alternatief voor de beruchte ransomware CryptoLocker. Power Locker, ook wel Prison Locker genoemd, is te koop op ondergrondse marktplaatsen voor cybercriminelen. Al langer is duidelijk dat cybercriminelen op internet allerlei kant-en-klare1