Thứ Hai, 18 tháng 9, 2017

Công cụ CCleaner phát tán malware tới hàng triệu PC

Phần mềm ‘chăm sóc’ máy tính CCleaner 5.33 vừa bị phát hiện đã bị nhiễm mã độc gây ảnh hưởng 2,27 triệu máy tính.

Nhóm nghiên cứu an ninh Talos (công ty trực thuộc Cisco) phát hiện ứng dụng CCleaner được cung cấp từ server download của Avast đã bị thay thế bởi hacker chưa rõ tên tuổi, khiến hàng triệu người dùng vô tình tải mã độc về máy tính của mình trong suốt một tháng qua.

[​IMG]
CCleaner là phần mềm của Piriform (Avast mua lại), cho phép người dùng thực hiện việc bảo trì định kỳ trên máy tính, gồm các tác vụ như xóa file tạm, phân tích hệ thống, tối ưu hóa máy tính, giúp hệ thống mượt mà hơn.

Tính từ tháng 11/2016, CCleaner có tổng cộng 2 tỷ lượt tải với tốc độ tăng trưởng khoảng 5 triệu người sử dụng mỗi tuần. Con số ấy tuy ấn tượng nhưng cũng cực kì đáng lo ngại vì không thể xác định được có bao nhiêu người dùng đã dính mã độc. Avast dự đoán có khoảng 2,27 triệu máy nhiễm malware.

Mã độc này được thiết kế để thu thập dữ liệu người dùng bao gồm
· Tên máy tính
· Danh sách các phần mềm cài đặt, bao gồm cả các bản update Windows
· Danh sách tất cả các chương trình đang chạy
· Địa chỉ IP và MAC
· Các thông tin như thiết bị có chạy dưới đặc quyền quản trị hay không và có phải là hệ thống 64 bit hay không.

Ngay khi phát hiện ra sự cố, Cisco Talos đã liên lạc với Avast, thúc giục họ đưa ra những biện pháp khắc phục sớm nhất có thể.

"Dựa trên phân tích sâu hơn, chúng tôi thấy rằng phiên bản CCleaner 5.33.6162 và CCleaner Cloud 1.07.3191 đã được sửa đổi bất hợp pháp trước khi phát hành công khai. Chúng tôi bắt đầu quá trình điều tra", Paul Yung, phó chủ tịch sản phẩm tại Piriform nói.

Talos phát hiện ra vấn đề này từ sớm. Họ khẳng định tin tặc mới thu thập thông tin từ những máy đã nhiễm malware, chưa bắt nạn nhân cài thêm phần mềm gì. Theo Avast, chưa có thiệt hại đáng kể nào xảy ra.

Nếu máy tính của bạn đang dùng CCleaner 5.33 thì hãy gỡ bỏ nó sạch sẽ. Các bạn có thể vào thư mục cài đặt của CCleaner(thông thường là C:\ProgramFile\CCleaner) xóa bỏ hết các file trong folder này.

Nếu bạn vẫn muốn dùng CCleaner thì hãy dùng một phiên bản khác của CCleaner.

Chi tiết về mã độc này đã được Mod HustReMw phân tích tại bài viết sau: Phương thức cài đặt và hoạt động của malware trong CCleaner


Như chúng ta đã biết, CCleaner là một ứng dụng rất phổ biến, cho phép dọn dẹp, tăng tốc độ, hiệu năng máy tính.
Ngày 13/9/2017 các nhà nghiên cứ của Talos đã phát hiện ra phiên bản CCleaner 5.33 chứa mã độc. Điều đặc biệt là phiên bản CCleaner 5.3.3 được tải trực tiếp từ server của Avast và có chữ ký hợp pháp của Piriform Ltd by Symantec.

upload_2017-9-18_18-32-43.png

Bộ cài CCleaner 32bit 5.33 đã bị modified code để thực thi code mã độc trước khi chuyển tiếp đến các hoạt động bình thường của CCleaner. Đoạn code giải mã và thực thi code của mã độc
upload_2017-9-18_18-48-21.png

Các thông tin của máy tính sẽ bị thu thập và gửi về C&C server của mã độc, ngoài ra các hành vi độc hại khác có thể được thực thi.

C&C Server: 216.126.225.148

Theo ông Williams của hãng bảo mật Talos "Bản chất của vụ tấn công này là hacker đã chiếm quyền truy cập của một máy tính được dùng để tạo ra CCleaner".

Nếu máy tính của bạn đang dùng CCleaner 5.33 thì hãy gỡ bỏ nó sạch sẽ. Các bạn có thể vào thư mục cài đặt của CCleaner(thông thường là C:\ProgramFile\CCleaner) xóa bỏ hết các file trong folder này.
Nếu bạn vẫn muốn dùng CCleaner thì hãy dùng một phiên bản khác của CCleaner.

Không có nhận xét nào:

Đăng nhận xét