Хакеры спрятали вредоносное ПО в CCleaner

Атаки через механизмы обновления становятся популярными

Хакеры взломали CCleaner, чтобы внедрить вредоносное ПО в приложение и распространить его среди миллионов пользователей. Исследователи безопасности из Cisco Talos обнаружили, что серверы загрузки Avast (компании, владеющей CCleaner), были скомпрометированы для распространения вредоносного ПО, спрятанного внутри CCleaner. «В течение определенного периода времени легитимная подписанная версия CCleaner 5.33, распространяемая Avast, содержала многоступенчатую полезную нагрузку в виде вредоносной программы, которая находилась в инсталляции CCleaner», говорит команда Talos.

CCleaner был загружен более 2 миллиардов раз, что делает его популярной целью для хакеров. Программа предназначена для удаления куки-файлов и обеспечения конфиденциальности в Интернете. Атака затронула 2.27 миллиона пользователей, и Avast Piriform полагает, что способна предотвратить нанесение вреда клиентам. «Piriform считает, что ее пользователи сейчас в безопасности, поскольку что она может нейтрализовать угрозу, прежде чем она сможет нанести какой-либо вред», говорит пресс-секретарь Avast.

Это необычная атака, поскольку программному обеспечению, подобному CCleaner, пользователи доверяют, и оно предназначено для удаления «мусора» из системы. «Используя доверительные отношения между поставщиками программного обеспечения и пользователями, злоумышленники используют файлы и веб-серверы, предназначенные для распространения обновлений»,  говорит Talos. Сама вредоносная программа, по-видимому, предназначена для использования зараженных ПК в составе ботнета.

Ранее в этом году взломали украинскую компанию MeDoc, и ее серверы обновлений использовали для распространения программы-вымогателя Petya. Похоже, что хакеры нацелены на подобные точки с целью более легкого распространения вредоносного ПО, вместо традиционного способа атаки на отдельные машины. Это модная тенденция, которую отмечают многие исследователи безопасности.