image

Avast: 40 computers ontvingen malware via CCleaner-backdoor

maandag 25 september 2017, 15:22 door Redactie, 8 reacties

Van de 2,27 miljoen computers die een gebackdoorde versie van de populaire tool CCleaner installeerden hebben uiteindelijk 40 machines aanvullende malware ontvangen. Het gaat onder andere om computers van Samsung, Sony, Asus, Intel en NEC. Dat meldt anti-virusbedrijf Avast vandaag.

Aanvallers wisten begin juli toegang tot de ontwikkelomgeving van Piriform te krijgen, de originele ontwikkelaar van de tool. Vervolgens werd er een backdoor aan CCleaner versie 5.33.6162 en CCleaner Cloud versie 1.07.3191 voor 32-bit Windows toegevoegd. Deze versie werd een maand lang via de officiële downloadserver aangeboden. Via deze backdoor kon er aanvullende malware op systemen worden geïnstalleerd. In eerste instantie lieten zowel Piriform als Avast weten dat dit niet was gebeurd. Uit verder onderzoek bleek dat dit toch het geval was geweest. De aanvallers hadden het daarbij voorzien op grote tech- en telecombedrijven.

Een duidelijk beeld van het aantal aangevallen bedrijven ontbrak echter. Uit onderzoek van de server waarmee de backdoor communiceerde bleek dat die op 31 juli werd geïnstalleerd en op 11 augustus met het verzamelen van data begon. De database op de server bevatte geen data van voor 12 september. Onderzoekers van Avast dachten dan ook dat iemand de logbestanden had verwijderd om geen sporen achter te laten. Uit een ander logbestand bleek echter dat de database, die data van de backdoor opsloeg, niet voldoende schijfruimte had, waardoor die crashte.

Om het ruimtegebrek te verhelpen werden allerlei logbestanden verwijderd. Verder onderzoek wijst uit dat de aanvallers de data van de gecrashte database op een andere server hebben geback-upt. Dankzij hulp van de Amerikaanse autoriteiten hebben onderzoekers van Avast toegang tot deze server gekregen, alsmede de complete database. Alleen een periode van 40 uur tussen de crash van de database en installatie van een nieuwe database ontbreekt.

Uit de database blijkt dat er bijna 5,7 miljoen verbindingen met de server plaatsvonden, afkomstig van ruim 1,6 miljoen unieke computers. De aanvullende malware werd uiteindelijk op 40 computers geïnstalleerd. Het gaat dan met name om machines van de Zuid-Koreaanse telecomaanbieder Chunghwa Telecom en techbedrijven NEC, Samsung, Asus, Fujitsu en Sony. De aanvallers hadden ook interesse in andere bedrijven, waaronder Akamai, Cisco, HTC en Microsoft, maar die hebben de aanvullende malware niet ontvangen. Alle getroffen bedrijven zijn inmiddels ingelicht.

Image

Reacties (8)
25-09-2017, 15:31 door Anoniem
Dan mag ik hopen dat betreffende bedrijven ook nogs een kritisch naar hun netwerk en indien software ontwikkelaar: de update service + signing keys kijken.
25-09-2017, 15:52 door Anoniem
Van de 2,27 miljoen computers die een gebackdoorde versie van de populaire tool CCleaner installeerden hebben uiteindelijk 40 machines aanvullende malware ontvangen. Het gaat onder andere om computers van Samsung, Sony, Asus, Intel en NEC. Dat meldt anti-virusbedrijf Avast vandaag.

Dit is pure damage control van Avast door PR-matig het afzwakken van de feiten. "Uiteindelijk", dat is een conclusie die ze niet kunnen trekken, eerder berichtten ze al dat de logfiles gewist waren en een DB opnieuw geinstalleerd vanwege corruptie.
25-09-2017, 17:20 door Anoniem
Nu zie je ook dat de tech industrie gewoonweg niet weet dat CCleaner onzin is, en het toch denkt nodig te moeten hebben.. Trieste zaak.
25-09-2017, 18:04 door Anoniem
Door Anoniem: Nu zie je ook dat de tech industrie gewoonweg niet weet dat CCleaner onzin is, en het toch denkt nodig te moeten hebben.. Trieste zaak.

Trollen is een trieste zaak. Als je vind dat dit geen trollen maar gewoon smaad en laster is, onderbouw dan je stelling.
25-09-2017, 19:04 door Bastaard29
waarom hebben ze niet direct gezegd?
25-09-2017, 21:17 door Spiff has left the building
Door Anoniem, 17:20 uur:
Nu zie je ook dat de tech industrie gewoonweg niet weet dat CCleaner onzin is, en het toch denkt nodig te moeten hebben.
Door Anoniem, 18:04 uur:
Als je vind dat dit geen trollen maar gewoon smaad en laster is, onderbouw dan je stelling.
@ Anoniem 18:04,
Hoe is de bijdrage van Anoniem 17:20 volgens jou trollen, smaad, of laster?
Volgens mij zegt Anoniem 17:20 slechts dat het gebruik van CCleaner niet nodig is - omdat alle acties ook op andere wijze, zonder CCleaner, uitgevoerd kunnen worden.
Ik zie niet hoe zoiets trollen, smaad, of laster zou kunnen zijn.
26-09-2017, 05:42 door Anoniem
Door ervaringen in het verleden met CCleaner gebruik ik het niet meer. En ik raad het iedereen af! In de Windows XP tijd verwijderde het ook oude systeembestanden en liep de hele computer niet meer normaal. Een technicus zei me toen al: Als je je computer veilig wilt houden gebruik je alleen de standaard programma's die door het besturingssysteem worden aangeboden. Alle third-party software vertraagd de pc meestal en belangrijker: maakt de pc onstabieler, en nog belangrijker: onveiliger! Dus gewoon schijfopruiming evt. icm met defrag van Windows zelf en klaar. Het systeem weet zichzelf ook via 'onderhoud op de achtergrond' prima in orde te houden.
28-09-2017, 21:56 door Anoniem
Ineens TLS handshake probleem, internet verbinding bestaat met router, maar geen internet in de browser, CCleaner verwijderd. Geen Iinternet.

Avast free verwijdert, ineens weer probleemloos internet. Rare update misschien, last van een verborgen payload?
Geen idee, windows defender weer geactiveerd en na een update en volledige scan gedaan.

Wel even geschrokken, want ik ben geen n00b en het was echt freaky. Are you f...... daft? Alle verbindingen established, browser teruggezet naar de startinstellingen, zonder extensies en niets laadt er in de browser totdat ik avast eraf gooi en als bij toverslag.

Wat is er hier aan de hand? Iemand?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.