A népszerű rendszertunningoló alkalmazást, a CCleanert egy hónapon keresztül rejtett utassal együtt telepítették számítógépükre a felhasználók. A még nem bizonyított gyanú szerint a legnagyobb technológiai cégek elleni ipari kémkedésre akarták használni a fertőzött alkalmazást.
Azok, akik augusztus 15. és szeptember 12. között töltötték le és telepítették gépükre a CCleaner népszerű rendszertunningoló alkalmazást, egy potyautast is telepítettek gépükre. A hivatalos oldalról letölthető telepítőcsomag egy kártevőt (Win32.Backdoor.Forpivast.A) vitt magával a számítógépre. A CCleaner 5.3-mas verziója érintett az ügyben, azóta már megjelent a 5.3.5-ös változat is, amely nem tartalmazza a kártevőt. A G DATA vírusvédelmi szoftvereit használók számítógépe védett volt a kártevő ellen.
40 kiszemelt számítógép
A potyautasos CCleaner 2,7 millió számítógépet fertőzött meg, ami, ahhoz képest, hogy az alkalmazást közel két milliárdan használják világszerte eddig összesen több mint kétmilliárd alkalommal töltötték le, nem is olyan nagy szám. Azonban a valóban megfertőzött számítógépek száma mindössze 40 körüli, és mind óriási technológiai cégek hálózatából kerülnek ki. A támadókat célzottan a Microsoft, HTC, Vodafone, Fujitsu, Samsung, Sony számítógépes hálózata érdekelte csupán. A fennmaradó többmillió számítógépet csak megvizsgálta az alkalmazás, és elküldte a központba az adatait. A technológiai cégek hálózatába tartozó számítógépekre azonban egy másik csomagot is letöltött. Hogy ez pontosan mit is csinált a számítógépeken, még vizsgálják a szakértők.
A történetben rendkívül aggasztó dolog, hogy a támadóknak sikerült egy hivatalosan aláírt, tanúsítvánnyal ellátott programba csempészniük kártevőiket. Ezeket a tanúsítványokat azért állítják ki, hogy megnyugtassák a felhasználókat, hogy az alkalmazás egy megbízható fejlesztőtől érkezik. Elképzelhető, hogy ebben az esetben valahogy ellopták a tanúsítványt, és a fertőzött alkalmazást aláírták vele. Aki hasonló tanúsítvány birtokában van, egy nagyon széles, gyanútlan közönséget képes elérni – az egyedüli védekezés, ha fejlett és frissített vírusvédelmi szoftver védi gépünket.
Még mindig folyik a nyomozás
Újdonságot jelent a támadás forgatókönyve: a támadók több millió gépre jutottak be, ezekből választották ki azt a 40 darabot, amelyek az IP címük alapján a nagy technológiai cégekhez voltak köthetőek. Csak ezeket fertőzték meg egy második, jóval összetettebb kártevővel. Ez a célzott támadás arra enged következtetni, hogy valószínűleg ipari kémkedésre szerették volna használni (vagy használták is) a kártevőt. A nyomozás az ügyben még nem zárult le.
Forrás: Avast
15 Comments
Mi az a “CCleaner”?? 🙂
Nekem más nemzetmözileg elismert vírusirtóm volt, de bebuktam 2 hét mentést mert nem fogott meg egy férget. Azóta van a pc supportosok javaslatára GData és minden oké a gépemen! És ez a poszt nem azért jött létre hogy kedvezményt kapjak, vagy esetleg közöm lenne a cévhez! Üdv miki
Jó kis program ez, manuálisan kell beállitani és a vírusírtót pedig használni. Lassan nincs olyan program, amit ne lehetne fertőzni. Ezért kell védelezni.
Had kérdezzem meg, a portable verzióval is voltak gondok?
Sajnos nem tudunk erre a kérdésedre válaszolni.
Kár, de azért köszönöm. 🙂
Meg kell venni 15k ért egy smart security-t 1250/hó és nem kell ilyen szarokat fel tenni.
A CCleaner egy a kevés, normálisan működő takarító közül, ami valóban azt csinálja, ami a neve. Egy korszerű, SSD-s gépen, Windows 10 mellett már nem biztos, hogy van létjogosultsága, de régebbi gépeken bizony van. Persze nem folyamatosan a háttérben futva, csak automatikusan, egyszer futtatva, pl. rendszerindításkor. Na meg persze nem alapbeállításon hagyva…
…és emlékezzünk pl. a Mac-es Transmission-re, ahol egy ideig fertőzött volt a hivatalos oldalról letölthető program. Előfordulhat akárhol ilyesmi.
A tipikus felesleges programok egyike…
Nekem bevált már évek óta.
Ami jó azt csesztetik.
Nekem a Malwarebytes talált 09,19-án egy Trojan. Floxif állományt az 533 as. exe-ben….
Sose volt megbízható szerintem, így ne is csodálkozzon senki.
így van…
Így jártam én is..