هشدار: نرم افزار CCleaner برای انتشار بدافزار، هک شد و بیش از 2.3 میلیون کاربر در معرض آلودگی هستند!

 | تاریخ ارسال: 1396/7/8 | 

اگر شما نرم افزار محبوبCCleaner  را در رایانه شخصی خود در بازه زمانی 24 مرداد تا 21 شهریور سال جاری از وب سایت رسمی شرکت سازنده این نرم افزار دانلود نموده یا آن را به روز کرده اید، توجه داشته باشید که رایانه شما در معرض خطر است.

نرم افزارCCleaner  یک برنامه کاربردی محبوب است که به کاربران اجازه می دهد تا سیستم خود را برای بهینه سازی و افزایش کارایی، پاکسازی کنند و تاکنون بیش از 2 میلیارد بار توسط کاربران دانلود شده است. شرکت Piriform، سازنده این نرم افزار است که به تازگی امتیاز این شرکت توسط کمپانی امنیتی Avast خریداری شد.

به گفته محققان امنیتی گروه Cisco Talos، سرورهای دانلود این نرم افزار که Avast آنها را میزبانی می‌کند؛ توسط برخی از هکرهای ناشناس مورد حمله قرار گرفتند. آنها نسخه اصلی نرم افزار را با یک بدافزار جایگزین نموده و به مدت یک ماه در بین میلیونها کاربر توزیع کرده اند.

این حادثه نمونه دیگری از حملات موسوم به زنجیره تامین[1] است. در اوایل سال جاری، سرورهای به‌روزرسانی یک شرکت اوکراینی به نام MeDoc نیز به همین شیوه مورد تهاجم قرار گرفت که منجر به انتشار بدافزار Petya Ransomware در سرتاسر جهان شد.

Avast و Piriform هر دو تأیید کردند که نسخه 5.33.6162 پلتفرم ویندوز 32 بیتی این نرم افزار و نسخه 1.07.3191 پلتفرم Cloud آن تحت تاثیر این حمله قرار گرفته اند.

روز 22 شهریور مشخص شد که نسخه آلوده CCleaner حاوی یک بدافزار چندلایه مخرب است که داده‌ها را از رایانه های آلوده سرقت نموده و آنها را به سرورهای کنترل و فرمان از راه دور[2] مهاجم، منتقل می‌کند.

علاوه بر این، هکرهای ناشناس، نسخه آلوده قابل نصب (5.33) را با استفاده از گواهینامه معتبر صادر شده توسط Symantec و الگوریتمDGA ، امضای دیجیتال نموده اند. به طوری که حتی اگر سرور مهاجم از دسترس خارج شود؛ الگوریتم DGA می تواند دامنه های جدیدی برای دریافت و ارسال اطلاعات سرقت شده، ایجاد کند.

پل یانگ مدیر محصول Piriform می گوید: "تمامی اطلاعات سرقت شده، توسط الگوریتم base64 و با الفبای سفارشی؛ رمزگذاری و کد گذاری می‌شود. سپس اطلاعات کدگذاری شده به آدرس IP خارجی 216.216.x.x از طریق درخواست HTTPS POST ارسال می‌شود."

نرم افزار آلوده برای جمع آوری تعداد زیادی از داده‌های کاربر، نوشته شده است، از جمله:

نام کامپیوتر (Computer Name)

فهرست نرم افزارهای نصب شده، از جمله به‌روزرسانی ویندوز

فهرست تمام فرآیندهای در حال اجرا در ویندوز

آدرس IP و MAC سیستم قربانی

اطلاعات اضافی مانند این که آیا فرایند با امتیازات مدیر اجرا می شود و اینکه آیا سیستم 64 بیتی است یا خیر.

چگونه بدافزار را از رایانه حذف کنیم؟

طبق گفته محققان Talos، حدود 5 میلیون نفر هر هفته CCleaner یا Crap Cleaner را دانلود می‌کنند، بنابراین انتظار می‌رود بیش از 20 میلیون نفر می توانند با نسخه مخرب این برنامه آلوده شده باشند.

گروه Talos گزارش داد: "تاثیر این حمله می تواند با توجه به تعداد بسیار زیاد سیستم‌های احتمالًا آلوده شده، چشمگیر باشد. بنابر ادعای شرکت سازنده، CCleaner ؛ بیش از 2 میلیارد بار از نوامبر سال گذشته در سراسر جهان دانلود شده است، همچنین نرخ 5 میلیون دانلود در هفته توسط کاربران جدید را نیز باید به این تعداد اضافه کرد"

با این حال، شرکتPiriform  برآورد کرده است که تا 3 درصد از کاربران آن (حدود 2.27 میلیون نفر) براثر نصب مخرب تحت تأثیر قرار گرفته باشند.

به کاربران آسیب دیده قویاً توصیه می شود تا نرم افزار CCleaner خود را به نسخه 5.34 یا بالاتر ارتقا دهند تا رایانه هایشان از این بدافزار در امان بماند. آخرین نسخه برای دانلود اینجا در دسترس است.


[1] Supply Chain Attack

[2] remote command-and-control




CAPTCHA
دفعات مشاهده: 7308 بار   |   دفعات چاپ: 1005 بار   |   دفعات ارسال به دیگران: 0 بار   |   0 نظر