Інцидент з CCleaner в минулому році наробив багато шуму, і фахівці з безпеки продовжують його вивчення. Нагадаємо: 18, вересня 2017 року компанія Avast повідомила, що CCleaner був використаний кіберзлочинцями, щоб поширювати шкідливе ПЗ через інсталяційний файл утиліту. Змінений файл установки був завантажений 2,27 млн користувачів. Шкідливе ПО потрапило на сервери Piriform, що розробляє CCleaner, в період з 11 березня по 4 липня 2017 року до придбання Piriform компанією Avast 18 липня 2017 року.
Перший етап шкідливого ПО був розроблений для збору нечутливої інформації від користувачів CCleaner, включаючи, наприклад, ім’я комп’ютера, список встановленого програмного забезпечення і список запущених процесів. Цей етап включав в себе можливості завантажувача, які були використані для установки двійкового коду другого етапу всього лише на 40 комп’ютерів з мільйонів пристроїв, заражених першою хвилею. Тобто атака була вкрай вибірковою. Нещодавно Avast опублікувала інформацію про те, що міг бути і третій передбачуваний етап атаки. Втім, доказів того, що бінарний файл третього етапу був завантажений на заражені комп’ютери, у компанії немає.
Щоб усунути загрозу з мережі Piriform, компанія перенесла збірку Piriform в інфраструктуру Avast, замінила все обладнання і перевела персонал на внутрішню IT-систему Avast. Компанія здійснила ретельну перевірку інфраструктури Piriform і комп’ютерів і виявила попередні версії першого і другого етапів, а також докази використання на чотирьох комп’ютерах спеціалізованого інструменту ShadowPad, який застосовується деякими кіберзлочинцями. Версія була, схоже, спеціально розроблена для атаки на Piriform і встановлена другим етапом атаки.
ПРОДОВЖЕННЯ ПІСЛЯ РЕКЛАМИ
Імовірно, за всіма атаками на CCleaner стоїть китайська група хакерів Axiom, яка і є автором ShadowPad. Avast виявила і журнальні файли ShadowPad, які містили зашифровані натискання клавіш зі встановленого на комп’ютерах клавіатурного шпигуна, який працював з 12 квітня 2017 року. За допомогою ShadowPad кіберзлочинці могли управляти чотирма зараженими системами віддалено, збирати облікові дані і аналізувати операції. Крім клавіатурного шпигуна на комп’ютерах були встановлені інші інструменти, в тому числі утиліти для викрадення паролів і віддаленої установки додаткового ПЗ.
ShadowPad був встановлений на системах мережі Piriform, але жоден з комп’ютерів користувачів CCleaner, схоже, не був заражений. Втім, Avast вважає, що це планувалося в рамках третього етапу. У той час як близько 2,27 млн клієнтів CCleaner і підприємств завантажили заражений продукт CCleaner, зловмисники встановили шкідливий код другого етапу тільки на 40 систем, що обслуговуються високотехнологічними і телекомунікаційними компаніями.
Лідер у сфері кібербезпеки Британії Darktrace був придбаний приватною інвестиційною компанією Thoma Bravo в рамках…
Витік особистої інформації може негативно вплинути на ваше соціальне та професійне життя. Тому, навіть якщо…
Apple відновила переговори з OpenAI про використання технології штучного інтелекту (ШІ) для розробки нових функцій…
У мережі виявлено небезпечного трояна, який полює за банківськими даними користувачів. Він розповсюджується під виглядом…
Смартфон Google Pixel 8a буде представлений 14 травня. Але витоку про нього з'являються все частіше.…
Компанія Ayaneo представила свою портативну ігрову приставку Pocket S – першу на ринку на основі…