Неизвестные злоумышленники внедрили вредоносный код в популярную утилиту CCleaner для ПК и Android-смартфонов, предназначенную для оптимизации работы устройств за счёт удаления ненужных программ и cookie-файлов. По данным разработчика, скомпрометированные версии CCleaner – Piriform CCleaner v5.33.6162 и CCleaner Cloud v1.07.3191 – были доступны для скачивания с 15 по 24 августа 2017 года. С учётом этого предполагается, что инцидент затронул порядка трёх процентов пользователей приложения или около 2,3 миллиона человек.
Как сообщили эксперты исследовательского ИБ-подразделения Cisco Talos, приложение было заражено вредоносной программой Floxif, которая собирала данные об инфицированном устройстве, отправляла их на командный сервер, и могла загружать и запускать сторонние бинарные файлы.
Создатель CCleaner – компания Piriform, в июле текущего года поглощённая антивирусной компанией Avast, подтвердила, что скомпрометированные версии приложений отправляли на размещённый в США сервер имена и IP-адреса компьютеров, список установленного и используемого программного обеспечения, перечень сетевых адаптеров. Вредонос присутствовал лишь в 32-битной версии CCleaner v5.33.6162 и CCleaner Cloud v1.07.3191, и прекращал работу, если пользователь не работал под аккаунтом с правами администратора, уточнили разработчики.
В Piriform отметили, что узнав о факте компрометации 12 сентября, компания удалила заражённые версии и в период с 13 по 15 сентября выпустила обновления CCleaner v5.34 и CCleaner Cloud v1.07.3214 без вредоносного кода. Разработчик направил пользователям уведомления о необходимости заменить версию ПО, а в облачном сервисе CCleaner обновление было установлено автоматически.
По запросу Piriform правоохранительные органы США заблокировали сервер, на который отправлялись собираемые вирусом данные. В компании извинились за происшедшее и заверили, что никакого вреда в результате инцидента причинено не было, и Piriform предпринимает меры для недопущения подобного.
Характер атаки указывает на то, что вредоносный код мог внедрить некий “инсайдер”, имеющий доступ к среде разработки CCleaner, заявил “Рейтер” руководителя Cisco Talos Крейг Уильямс (Craig Williams). Также возможно, что хакеры за пределами компании проникли в ее ИТ-систему.
В то же время ИБ-эксперт отметил, что разработчики обнаружили вредоносное ПО на начальной стадии, когда только шел сбор данных, поэтому никаких дополнительных файлов вирус еще не установил.
В настоящее время Piriform совместно с американскими правоохранителями ведет расследование, выясняя, кто стоит за атакой и какие цели преследовались.