image

Avast: Aanvallers CCleaner wilden ook keylogger installeren

vrijdag 9 maart 2018, 09:59 door Redactie, 8 reacties

De aanvallers die vorig jaar softwarebedrijf Piriform hackten en een backdoor aan de populaire tool CCleaner toevoegden waren mogelijk ook van plan om een keylogger op besmette systemen te installeren, zo meldt anti-virusbedrijf Avast, dat de eigenaar van CCleaner is.

Vorig jaar september maakte Avast bekend dat aanvallers CCleaner-ontwikkelaar Piriform hadden gehackt en malware aan de officiële versie hadden toegevoegd. Deze besmette versie was door 2,27 miljoen gebruikers gedownload. De malware was tussen 11 maart en 4 juli 2017 aan het ontwikkelplatform van Piriform toegevoegd. Het softwarebedrijf werd twee weken later op 18 juli door Avast overgenomen.

De eerste fase van de malware was om informatie over CCleaner-gebruikers te verzamelen, zoals de naam van de computer, geïnstalleerde software en actieve processen. De tweede fase bestond uit het downloaden van aanvullende malware. Dit werd echter bij een select aantal machines gedaan. Uiteindelijk ontvingen 40 computers deze aanvullende malware. Het ging om systemen van grote techbedrijven zoals Intel, Samsung, Sony, Asus, NEC en de Zuid-Koreaanse telecomaanbieder Chunghwa Telecom.

Er is geen bewijs dat er nog een derde stap is uitgevoerd, maar Avast heeft nu informatie gevonden waaruit blijkt dat die mogelijk wel gepland stond. Tijdens het onderzoek naar de gehackte Piriform-infrastructuur werden vroege versies van de eerste en tweede fase van de malware ontdekt, alsmede een tool genaamd ShadowPad. ShadowPad wordt door cybercriminelen gebruikt om computers op afstand te besturen. De tool was op 12 april op vier Piriform-computers geïnstalleerd, terwijl de tweede fase van de malware al op 12 maart was geïnstalleerd.

De oudere versie van de tweede fase malware maakte verbinding met een command & control-server. De servers waren op het moment dat Avast de computers analyseerde niet meer actief, zodat het onbekend is wat er werd gedownload, maar gezien het tijdsvenster was het vermoedelijk ShadowPad. De onderzoekers van Avast ontdekten ook ShadowPad-logbestasnden met toetsaanslagen van een keylogger die op de computers was geïnstalleerd. De keylogger was sinds 12 april actief en had van allerlei programma's toetsaanslagen opgeslagen. De aangetroffen versie van ShadowPad bleek speciaal gemaakt te zijn. Avast denkt dan ook dat de aanvallers die speciaal voor Piriform hadden aangepast.

Naast de keylogger installeerden de aanvallers ook een wachtwoordsteler en tools om andere software te installeren. Volgens Avast zijn er geen aanwijzingen dat ShadowPad op de computers van CCleaner-gebruikers is geïnstalleerd. Wel stelt de virusbestrijder dat het de derde fase van de aanval was. Het is daarbij onbekend of de aanvallers de keylogger op alle 40 aangevallen computers in de tweede fase wilden installeren of op slechts een paar of helemaal niet. Dit wordt nog onderzocht.

Reacties (8)
09-03-2018, 11:33 door Anoniem
CCleaner had helemaal niet gehacked hoeven worden als Avast beter had opgelet.Een antivirusbedrijf wat nieteens zn eigen produkten kan beveiligen nou dat schept geen vertrouwen dat het wel mn pc kan beveiligen en/of veilig kan opruimen. Ik blijf nog heel lang weg van CCleaner. Ik gebruik wel Glary Utilities van Glarysoft. Doeii CCleaner en doeii Avast!!
09-03-2018, 13:03 door Anoniem
Door Anoniem: CCleaner had helemaal niet gehacked hoeven worden als Avast beter had opgelet.Een antivirusbedrijf wat nieteens zn eigen produkten kan beveiligen nou dat schept geen vertrouwen dat het wel mn pc kan beveiligen en/of veilig kan opruimen. Ik blijf nog heel lang weg van CCleaner. Ik gebruik wel Glary Utilities van Glarysoft. Doeii CCleaner en doeii Avast!!

Avast had op het moment van de aanval CCleaner nog niet in handen, hier konden ze dus werkelijk niets aan doen.

De malware was tussen 11 maart en 4 juli 2017 aan het ontwikkelplatform van Piriform toegevoegd. Het softwarebedrijf werd twee weken later op 18 juli door Avast overgenomen.
09-03-2018, 13:04 door Anoniem
Door Anoniem: CCleaner had helemaal niet gehacked hoeven worden als Avast beter had opgelet.Een antivirusbedrijf wat nieteens zn eigen produkten kan beveiligen nou dat schept geen vertrouwen dat het wel mn pc kan beveiligen en/of veilig kan opruimen. Ik blijf nog heel lang weg van CCleaner. Ik gebruik wel Glary Utilities van Glarysoft. Doeii CCleaner en doeii Avast!!

Als je het artikel een beetje doorleest zie je dat de malware al was geplaatst voordat het werdt overgenomen door Avast. ;)

De malware was tussen 11 maart en 4 juli 2017 aan het ontwikkelplatform van Piriform toegevoegd. Het softwarebedrijf werd twee weken later op 18 juli door Avast overgenomen.
09-03-2018, 13:05 door Anoniem
Door Anoniem: CCleaner had helemaal niet gehacked hoeven worden als Avast beter had opgelet.Een antivirusbedrijf wat nieteens zn eigen produkten kan beveiligen nou dat schept geen vertrouwen dat het wel mn pc kan beveiligen en/of veilig kan opruimen. Ik blijf nog heel lang weg van CCleaner. Ik gebruik wel Glary Utilities van Glarysoft. Doeii CCleaner en doeii Avast!!

Weer een typische security.nl opmerking, de beste schippers staan aan wal en hoeven hun kortzichtige stellingen niet te onderbouwen.

Leg eens uit waarom CCleaner niet gehackt had hoeven worden, wat weet jij van hun technische infrastructuur en welke methode is gebruikt om het netwerk te penetreren?

Welke rol en verantwoordelijkheid had Avast hierin als ze nog in een overnameproces zaten?

Wat heeft de beveiliging van jouw endpoint te maken met hun distributieservers?

Heb je een kwantitatieve onderbouwing waarom Avast/Ccleaner ondergeschikt zijn aan Glarysoft?

Dit soort niet onderbouwde stemmingmakerij wekt bij mij de indruk dat je totaal geen idee hebt van het security werkveld en je hier ook zeker niet in werkzaam bent. Kom eens op gesprek voor een security functie en men prikt zo door je stemmingmakerij heen.

Aan security.nl om de burelen wat op te schonen, het gros van de reacties is totaal niet onderbouwd en schrikt security mensen weg.
09-03-2018, 13:16 door Anoniem
Begrijpend lezen is niet je sterkste punt zie ik. Avast heeft het bedrijf wat CCcleaner maakt overgenomen NADAT het gehackt was.
09-03-2018, 13:16 door Anoniem
Door Anoniem: CCleaner had helemaal niet gehacked hoeven worden als Avast beter had opgelet.Een antivirusbedrijf wat nieteens zn eigen produkten kan beveiligen nou dat schept geen vertrouwen dat het wel mn pc kan beveiligen en/of veilig kan opruimen. Ik blijf nog heel lang weg van CCleaner. Ik gebruik wel Glary Utilities van Glarysoft. Doeii CCleaner en doeii Avast!!

Beetje overdreven reactie. Dit speelde al bij CCleaner voordat Avast hen overnam.
09-03-2018, 23:32 door Anoniem
Nu komt echter naar voren dat avast en andere veel gedownloade gratis programma's (CCleaner etc.) in bepaalde landen prima meelift downloads zijn voor het injecteren van staatsspyware (Turkije, Syrie). Amerikaanse tech bedrijven helpen hierbij graag een software-handje en geven ook ISP's voorlichting (FAQ).

Je zal maar op zo'n provider zitten, die je begluurt via DPI en een "Ottomanische Reichs Trojaner" op je computer mee installeert. We zitten dus al volop in een "heet soort cyberwar", mensen.

Hoor ik daar heel in de verte de "Kesseldrums" alweer tegen de Alewiten?
10-03-2018, 19:45 door Anoniem
Door Anoniem: CCleaner had helemaal niet gehacked hoeven worden als Avast beter had opgelet.Een antivirusbedrijf wat nieteens zn eigen produkten kan beveiligen nou dat schept geen vertrouwen dat het wel mn pc kan beveiligen en/of veilig kan opruimen. Ik blijf nog heel lang weg van CCleaner. Ik gebruik wel Glary Utilities van Glarysoft. Doeii CCleaner en doeii Avast!!

Wat een gigantische koekwous, ik hoef verder niets te zeggen, anderen waren mij al voor; diegenen die wel kunnen lezen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.