اگر شما برنامه CCleaner را در بازه زمانی ۱۵ اوت تا ۱۲ سپتامبر ۲۰۱۷ از سایت رسمی آن دانلود کرده یا آن را بهروزرسانی کردهاید، باید به این نکته توجه کنید که کامپیوتر شما در معرض خطر قرار گرفته است.
CCleaner یک برنامه بسیار معروف است که تابهحال بیش از ۲ میلیارد بار دانلود شده است و توسط شرکت Piriform تولید شده که اخیراً توسط Avast خریداری شده است و به کاربران اجازه میدهد تا سیستم خود را برای بهینهسازی و افزایش کارایی، پاکسازی کنند.
محققان امنیتیِ شرکت Cisco Talos کشف کردند[۱] که سرورهای دانلود مورد استفاده توسط Avast که به کاربران اجازه دانلود این نرمافزار را میدهند توسط برخی از هکرهای ناشناخته در معرض خطر قرار گرفتند، که نسخه اصلی نرمافزار را با یک نسخه مخرب جایگزین کرده و میلیونها کاربر در فاصله زمانی ۱ ماه این نرمافزار جایگزین شده و مخرب را دانلود کردهاند.
این حادثه نمونه دیگری از نوع حمله زنجیره تأمین است. در اوایل سال جاری، سرورهای بهروزرسانی یک شرکت اوکراینی به نام MeDoc نیز به همان شیوه برای گسترانیدن باجگیر افزار Petya مورد سوءاستفاده قرار گرفت[۲].
Avast و Piriform هر دو تأیید کردهاند که نسخه ۳۲ بیتی تحت ویندوز CCleaner v5.33.6162 و CCleaner Cloud v1.07.3191 توسط جایگزین شدن نرمافزارهای مخرب تحت تأثیر قرار گرفتهاند[۳].
در تاریخ ۱۳ سپتامبر ۲۰۱۷، نسخه مخرب CCleaner شامل چندین payload بدافزاری و مخرب تشخیص داده شد که اطلاعات را از رایانههای آلوده دزدیده و آنها را به سرورهای C&C و از راه دور انتقال میدهد.
علاوه بر این، مهاجمان ناشناخته فایل مخرب اجرایی برای نصب این برنامه را با استفاده از یک امضای دیجیتال موثق که از طرف Symantec و برای Piriform صادر شده است، امضا کردند و از الگوریتم تولید دامنه یا DGA استفاده کردند، بنابراین اگر سرور مهاجمان از کار بیفتد، این الگوریتم میتواند دامنههای جدید تولید کرده و دادههای دزدیدهشده را ارسال و یا دریافت کند.
Paul Yung، مدیر محصولات در Piriform میگوید[۴]: “تمام اطلاعات جمعآوریشده توسط base64 با الفبای سفارشی رمزگذاری و کدگذاری شدهاند. سپس اطلاعات کدگذاری شده به آدرس IP خارجی ۲۱۶٫۱۲۶٫x.x و از طریق درخواست HTTPS POST ارسال شده است (این آدرس در یک payload قرار داده شده است و ما عمداً دو رقم آخر آن را در اینجا نشان ندادهایم). “
این نرمافزار مخرب برای جمعآوری تعداد زیادی از دادههای کاربر موردنظر برنامهریزی شده است، ازجمله:
- نام کامپیوتر
- لیست نرمافزارهای نصبشده شامل بهروزرسانیهای ویندوز
- لیست تمامی فرآیندهای در حال اجرا
- آدرسهای IP و MAC
- اطلاعات تکمیلی مانند اینکه آیا یک فرایند با امتیازات مدیر اجرا میشود و آیا سیستم ۶۴ بیتی است یا خیر؟
چگونه باید این بدافزار را از روی سیستم خود پاک کنید؟
طبق گفته محققان Talos، حدود ۵ میلیون نفر هر هفته CCleaner (یا Crap Cleaner) را دانلود میکنند، که نشان میدهد بیش از ۲۰ میلیون نفر میتوانند با نسخه مخرب این برنامه آلوده شده باشند.
محققان امنیتی از شرکت Cisco Talos دراینباره میگویند: “اثرات این حمله میتواند بسیار شدید باشد چراکه تعداد سیستمهای آلودهشده بسیار زیاد است. CCleaner ادعا میکند که از نوامبر سال ۲۰۱۶ تا الان در سراسر جهان بیش از ۲ میلیارد بار دانلود شده است و هر هفته ۵ میلیون کاربر جدید به تعداد کاربران آن اضافه میشوند.”
بااینحال، Piriform برآورد کرد که تا ۳ درصد از کاربران آنها (حدود ۲٫۲۷ میلیون نفر) توسط نصب کردن نسخه مخرب این برنامه تحت تأثیر قرار گرفتهاند.
به کاربران آسیبدیده بهشدت توصیه میشود تا نرمافزار CCleaner خود را به نسخه ۵٫۳۴ یا بالاتر ارتقا دهند تا از رایانههایشان محافظت شود. آخرین نسخه این برنامه برای دانلود در اینجا قرار دارد[۵] .
منابع
[۱] http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html
[۲] https://apa.aut.ac.ir/?p=2723
[۳]http://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users
[۴]http://www.piriform.com/news/release-announcements/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users
[۵] https://www.piriform.com/ccleaner/download
[۶] http://thehackernews.com/2017/09/gamma-finfisher-hacking-tool.html
ثبت ديدگاه