An ninh mạng

Hơn 2 tỉ thiết bị nhiễm mã độc từ CClearner

Mới đây các chuyên gia an ninh mạng đã phát hiện một loại mã độc đã đánh cắp thông tin về tên máy tính, danh sách các phần mềm đã cài đặt, danh sách tất cả các tiến trình đang chạy từ chương trình CCleaner, với hơn 2 tỉ lượt tải về.

Tiện ích giúp người dùng loại bỏ các tập tin dư thừa, các file trùng lặp, các phân mảnh ổ cứng giúp giải phóng không gian ổ đĩa cũng như trả lại hiệu suất làm việc của hệ thống máy tính do công ty Piriform Ltd phát triển và sử dụng với hệ điều hành Windows.Thật không may,

Theo trang The Guardian, ngày 13/9/2017, trong khi tiến hành kiểm tra, công nghệ phát hiện khai thác mới của Cisco Talos đã xác định được hành vi đáng hiện một ngờ từ một tệp tin thực thi trên hệ thống. Sau khi kiểm tra chặt chẽ hơn, tệp tin thực thi được đề cập đến là trình cài đặt của CCleaner v5.33 được đăng tải trên trang chủ của CCleaner.

Mã độc có ở ngay phiên bản phần mềm chính thức của CClearner.

Talos xác nhận rằng mặc dù bản thực thi được tải xuống đã được ký bằng chữ ký số của Symantec nhưng CCleaner không phải là ứng dụng duy nhất có trong quá trình tải xuống. 

Trong quá trình cài đặt CCleaner v5.33 cũng đã tải xuống một payload độc hại có thể đánh cắp dữ liệu từ máy tính bị ảnh hưởng và gửi về cho máy chủ C&C. Ngoài ra, mã độc bao gồm chức năng DGA (Domain Generation Algorithm) để nếu máy chủ của kẻ tấn công bị sập, DGA có thể tạo ra các tên miền mới để nhận và gửi thông tin bị đánh cắp.

“Tất cả các thông tin thu thập được được mã hóa base64, sau đó được gửi đến một địa chỉ external IP 216.126.x.x (địa chỉ này đã được mã hóa cứng trong payload và chúng tôi đã cố tình che dấu hai octet cuối cùng ở đây) thông qua HTTPS POST request.” theo xác nhận của Piriform.

Phần mềm sử dụng chứng thư số do Symantec cấp, do đó các máy tính sẽ tự động tin tưởng vào phần mềm này.

CClearner đang được sử dụng vô cùng rộng rãi nên khả năng số máy bị lây nhiễm cũng rất lớn.

Cả Avast và Piriform đều xác nhận rằng phiên bản Windows 32-bit của CCleaner v5.33.6162 và CCleaner Cloud v1.07.3191 đã bị ảnh hưởng bởi mã độc.

Phiên bản bị ảnh hưởng (v5.33) đã được phát hành vào ngày 15/8/2017, chứng thư số hợp lệ đã được cấp cho Piriform Ltd bởi Symantec và có hiệu lực đến 10/10/2018. Phiên bản v5.34 đã được phát hành vào ngày 12/9/2017.

Mã độc thu thập một số lượng lớn dữ liệu người dùng, bao gồm: Tên máy tính, Danh sách các phần mềm đã cài đặt, bao gồm các bản cập nhật của Windows, Danh sách tất cả các tiến trình đang chạy, Địa chỉ IP và địa chỉ MAC, Thông tin bổ sung, ví dụ: liệu tiến trình có đang chạy với quyền quản trị hay không.

Tác động của cuộc tấn công này có thể rất nghiêm trọng. CCleaner tuyên bố đã có hơn 2 tỷ lượt tải xuống trên toàn thế giới tính đến tháng 11 năm 2016 và tăng thêm 5 triệu mỗi tuần.

Các hệ thống bị ảnh hưởng cần được khôi phục lại trạng thái trước ngày 15/8/2017, cập nhật lên phiên bản mới nhất của CCleaner hoặc cài mới để tránh lây nhiễm.

Phiên bản hiện tại của CCleaner là v5.34. Tuy nhiên, phiên bản miễn phí của CCleaner không cung cấp cập nhật tự động, vì vậy người dùng cần phải thực hiện cập nhật một cách thủ công.

Vào thời điểm này, các chương trình phát hiện virus đối với nguy cơ này vẫn còn rất thấp, chỉ vào mức khoảng 1/64 (trong 64 antivirus thì chỉ có 1 antivirus phát hiện ra). Vì vậy, khuyến cáo người dùng cần kiểm tra lại, cập nhật phiên bản 5.34 hoặc mới hơn của CCleaner; hoặc gỡ bỏ ứng dụng.

Nhấn vào đây để bình luận

Trả lời bình luận

Thư điện tử của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

ĐỌC NHIỀU

Lên trên
Chuyển đến thanh công cụ