Af Torben B. Sørensen, 21/09/17
Oprydningsprogrammet CCleaner var inficeret med en bagdør fra den 15. august til den 15. september. Den inficerede version blev installeret på 2,27 millioner computere.
Hidtil har Avast, der ejer CCleaner, regnet med, at der kun blev installeret en downloader-komponent på de inficerede computere. De mente ikke, at komponenten downloadede yderligere skadelige programmer.
En analyse af data fra Command & Control-serveren viser, at der var tale om et målrettet angreb. En logfil over tre dages aktivitet viser, at programmet forsøgte at inficere 20 computere hos i alt otte organisationer.
Men da programmet var aktivt i længere tid, anslår Avast, at hundredvis af computere blev forsøgt inficeret med yderligere skadelige programmer.
Sikkerhedsfirmaet Cisco Talos oplyser, at programmet forsøgte at ramme computere på domæner som samsung.sk, jp.sony.com, vmware.com og cisco.com.
Anbefaling
Som følge af de nye opdagelser har Avast ændret sin anbefaling: Forbrugere kan fortsat nøjes med at installere den rettede version 5.35 af CCleaner. Men virksomheder bør tage højde for, at de kan have været ramt af angrebets anden fase. Derfor kan det blive aktuelt at vende tilbage til den opsætning, pc'erne havde før den 15. august.
Links
- Progress on CCleaner Investigation, Avast
- CCleaner Command and Control Causes Concern, Cisco Talos
- CCleaner targeted top tech companies in attempt to lift IP, artikel fra The Register