Программа CCleaner версии 5.33.6162 была заражена трояном Floxif

Москва, 14:08, 19 Сен 2017, редакция FTimes.ru, автор Сергей Кузнецов.

Появилось сообщение о том, что CCleaner был взломан, и опасно модифицированная версия была доступна для загрузки в течение нескольких недель. Около 2,3 миллионов компьютеров, как полагают, установили зараженное программное обеспечение.

В настоящее время производитель антивируса Avast пытается восстановить доверие своих пользователей. С этой целью генеральный директор компании Винс Стеклер написал статью, разъясняющую, что произошло с CCleaner, и подробно рассказывает о том, как они планируют защищать своих клиентов, а также «исправляют» некоторые данные.
О признает, что в свете недавнего вмешательства в данные Equifax, люди особенно чувствительны к безопасности на данный момент.

«Как только мы узнали об этой проблеме, мы ее приняли и решили. В течение примерно 72 часов после открытия проблема была решена Avast без какого-либо вреда нашим клиентам Piriform», — пишет Стеклер.

• 3 июля появились первые доказательства того, что хакеры нарушили IT-системы Piriform.
• 18 июля — Avast решает купить Piriform, компанию выпускающую CCleaner.
• 15 августа — Piriform, теперь входящая в Avast, выпускает CCleaner 5.33. 32-битная версия (CCleaner 5.33.6162) включала в себя троян Floxif.
• 20 и 21 августа — продукт безопасности MorphiSec обнаруживает первые случаи вредоносной активности (вредоносное ПО собирает учетные данные пользователя и отправляет их на удаленный сервер), но MorphiSec не сообщает об этом Avast.
• 24 августа — Piriform выпускает CCleaner Cloud v1.07.3191, в который также входит трофей Floxif.
• 11 сентября — клиенты MorphiSec обмениваются сообщениями об обнаружении вредоносной активности, связанной с CCleaner, с инженерами компании.
• 12 сентября — MorphiSec уведомляет Avast и Cisco о подозрительной активности CCleaner. Avast начинает собственное расследование, а также уведомляет правоохранительные органы США. Cisco также начинает собственное расследование.
• 14 сентября — Cisco уведомляет Avast о своих собственных выводах. Cisco в то же время зарегистрировала все домены, которые вредоносное ПО использовало в будущем для определения и вычисления IP-адреса сервера C&C.
• 15 сентября. После сотрудничества между Avast и правоохранительными органами был взят сервер C&C вредоносного ПО.
• 15 сентября — Avast выпускает CCleaner 5.34 и CCleaner Cloud 1.07.3214, который удаляет вредоносное ПО Floxif.
• 18 сентября — инцидент CCleaner становится общедоступным после отчетов Cisco и MorphiSec.

Стеклер говорит, что атака была очень сложной, поэтому она не была обнаружена в течение четырех недель.

Около 730 000 пользователей все еще используют уязвимую версию (5.33.6162). Эти пользователи должны обновиться, даже если они не подвержены риску, поскольку вредоносное ПО отключено на стороне сервера.

Работая с Piriform, Avast выпустил чистую версию CCleaner, которая была загружена пользователям как автоматическое обновление. У пользователей бесплатной версии CCleaner нет функции автоматического обновления, доступной для них, поэтому Avast просто сообщает, что им придется вручную обновиться.

В сообщении также говорится, что слухи о том, что пользователям нужно выполнять еще какие-либо действия в ответ на скомпрометированное программное обеспечение, были преувеличены.