Otkrivene nove informacije o hakovanju CCleanera

Vesti, 12.03.2018, 10:30 AM

Otkrivene nove informacije o hakovanju CCleanera

Avast je otkrio nove detalje o hakovanju CCleanera koje se dogodilo prošle godine. Govoreći na konferenciji u Meksiku, istraživači kompanije rekli su da su otkrili nove informacije o ovom incidentu.

Incident se dogodio se u septembru prošle godine, kada je otkriveno da je u 32-bitne verzije CCleaner v5.33.6162 i CCleaner Cloud v1.07.3191 ubačen malver koji krade informacije.

Istraživači su saopštili da je 2,27 miliona korisnika instaliralo inficirane verzije CCleanera, ali da je malver prikupio samo neke osnovne informacije, kao što su imena računara i podaci o domenu.

Kompanija je kasnije otkrila da je malver prve faze napravljen kao alat za masovno istraživanje koji je trebalo da identifikuje računare u internim mrežama velikih tehnoloških i telekomunikacionih kompanija, kao što su Google, Cisco, Oracle, Intel, Akamai, Microsoft i mnoge druge.

Istraživači kažu da su napadači instalirali malver druge faze samo na 40 računara pronađenih na ovim veoma osetljivim mrežama.

Avast, Cisco Talos i Kaspersky tvrde da iza ovog napada na infrastrukturu CCleanera stoji kineska grupa Axiom koja se bavi sajber špijunažom.

Istraživači Avasta su sada u Meksiku objavili da su otkrili dokaze da su se napadači pripremali da na inficiranim računarima instaliraju i treći malver.

Ovaj malver je pronađen na četiri računara zaposlenih u Piriformu, a Piriform je kompanija koja stoji iza aplikacije CCleaner i koju je Avast kupio u julu 2017. godine. U Avastu misle da je malver korišćen za izviđanje mreže Piriforma u sklopu pripreme za glavni napad koji će se dogoditi tokom leta.

Ime ovog malvera je ShadowPad. To je višenamenski i modularni malver koji ima mnogo pluginova koji pružaju različite funkcionalnosti, kao što su backdoor funkcije, keylogging funkcije i funkcije k koje obezbeđuju izvlačenje podataka.

ShadowPad su prvi primetili istraživači Kaspersky Laba u avgustu 2017. godine na serverima NetSaranga, proizvođača softvera iz Južne Koreje. Prema tvrdnjama istraživača kompanije Kaspersky, neidentifikovana grupa koja se bavi sajber-špijunažom ubacila je ShadowPad u softver NetSaranga i koristila je malver kao backdoor u zaraženim mrežama.

Avast kaže da je pronašao ShadowPad log fajlove na četiri zaražena računara u Piriformu. Ovi fajlovi su sadržali šifrovane pritiske na tastere, što znači da su napadači koristili keylogger plugin ShadowPada. Oni su otkrili i da ShadowPad pluginovi mogu da kradu lozinke iz lokalnih aplikacija.

Iz Avasta kažu da ShadowPad nikada nije instaliran na bilo kom računaru korisnika CCleanera. Ipak, oni veruju da je on bio predviđen za treću fazu i namenjen korisnicima CCleanera, jer je trebalo da posluži za pretraživanja u zatvorenim mrežama tehnoloških kompanija koje su napadači nameravali da zaraze.

Ovo se nije desilo jer je nekoliko proizvođača antivirusa ometalo planove Axioma otkrivajući inficirane verzije CCleanera. Iz Avasta kažu da je sada lanac distribucije CCleanera zaštićen.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

OBAVEŠTENJE o godišnjem odmoru

Sajt neće biti ažuriran u periodu od 10. do 30. septembra zbog godišnjih odmora.... Dalje

Hakovan British Airways, ukradeni podaci o 380000 platnih kartica

Hakovan British Airways, ukradeni podaci o 380000 platnih kartica

Kompanija British Airways, koja za sebe kaže da je "omiljena svetska avio-kompanija", potvrdila je da je hakovana i da su tokom dve nedelje napadači... Dalje

Lozinke 570000 igrača Mortal Online prodaju se na forumima

Lozinke 570000 igrača Mortal Online prodaju se na forumima

Informacije o nalozima 569703 igrača Mortal Onlinea, prodate su nekoliko puta posle napada koji se dogodio 17. juna, kada je nepoznati napadač ili v... Dalje

Za deseti rođendan Chrome dobio brojna funkcionalna i sigurnosna poboljšanja

Za deseti rođendan Chrome dobio brojna funkcionalna i sigurnosna poboljšanja

Pre deset godina Google je objavio prvu verziju svog pregledača koji je nazvan Chrome. Ove nedelje je kompanija objavila 69. verziju Chromea. Novi Ch... Dalje

Vodafon traži od korisnika koji su koristili lozinku 1234 da vrate novac koji su ukrali hakeri

Vodafon traži od korisnika koji su koristili lozinku 1234 da vrate novac koji su ukrali hakeri

Sud u Češkoj nedavno je osudio dvojicu hakera na tri godine zatvora zbog toga što su opljačkali na desetine korisnika Vodafona. Oni su upadali u n... Dalje