Thema: CCleaner: Avast verteilt Malware mit Optimierungsprogramm

So hatten sich Nutzer die Optimierung des PCs sicher nicht vorgestellt: Eine Version von CCleaner wurde für rund einen Monat mit Malware ausgeliefert.

Der Antivirenhersteller Avast hat mit einer ordentlich signierten Version des Optimierungsprogramms CCleaner Malware verteilt. Wie das zu Cisco gehörende Talos-Team in einem Blogbeitrag schreibt, war in dem Installationspaket eine Zeit lang ein Schadprogramm enthalten.

Die betroffene Version 5.33 für 32-Bit-Architektur wurde am 15. August erstmals auf die Seite gestellt, mit Version 5.34 wurde das Problem behoben. Diese ist am 12. September veröffentlicht worden. Die Malware-Version von CCleaner war nach Angaben von Talos direkt auf dem offiziellen Server gehostet. Frühere, nicht betroffene Versionen sind weiterhin verfügbar, Version 5.33 hingegen nicht mehr.

Malware war ordentlich signiert
Für Nutzer gab es dem Blogpost zufolge keine Möglichkeit, die verseuchte Version zu erkennen. Sie war mit einem gültigen Zertifikat für Piriform Ltd. signiert. Piriform ist der ursprüngliche Hersteller von CCleaner und wurde von Avast übernommen. Nach Angaben von Cisco habe es "erheblichen" Traffic zu den in der Malware enthaltenen Domains gegeben, nachdem die infizierte Datei hochgeladen wurde.

Talos geht davon aus, dass sich ein externer Täter Zugang zum Entwicklungsprozess von CCleaner verschaffen konnte, um die entsprechenden Dateien zu verteilen. Die Malware selbst sammelt zunächst Informationen über das befallene System, um dann weitere Module nachzuladen. Wie viel die Malware selbst anstellen kann, hängt auch von den Berechtigungen des ausführenden Nutzers ab. Bislang gibt es keine Bestätigung, dass der erweiterte Zugang des Programms zur Installation weiterer Schadsoftware wie zum Beispiel Keylogger verwendet wurde.

Nutzer sollten umgehend die neue Version des Programms installieren. Da die kostenfreie Version von CCleaner keinen automatischen Updatemechanismus besitzt, muss die Vorversion manuell deinstalliert werden. Cisco empfiehlt darüber hinaus ein Rollback des Rechners oder gar eine komplette Neuinstallation.

Nachtrag vom 19. September 2017
Avast hat sich in einem Blogbeitrag zu dem Vorfall geäußert. Nach Darstellung des Unternehmens sind insgesamt rund 2,7 Millionen Nutzer betroffen gewesen. Dank einer hohen Patchrate hätten aktuell noch etwa 700.000 eine verwundbare Version der Software auf dem Rechner. Die Command-und-Control-Server seien in Zusammenarbeit mit Sicherheitsfirmen und den Behörden stillgelegt worden.

Avast geht davon aus, dass die zweite Stufe der Malware zu keinem Zeitpunkt aktiviert wurde. Dies begründet Avast mit einer Datenanalyse von Kunden, die neben CCleaner auch Avasts Virenscanner verwenden. Ein Zurücksetzen des Systems ist daher nach Ansicht des Unternehmens unnötig.

Avast gibt außerdem an, nicht von Cisco zuerst über den Vorfall informiert worden zu sein, sondern von der Sicherheitsfirma Morphisec. Das Unternehmen bedankt sich für die Hinweise und will dafür sorgen, dass entsprechende Angriffe in Zukunft nicht mehr möglich sind.

Quelle: Golem.de

CCleaner-Malware: Avast veröffentlicht weitere Analyse-Ergebnisse

In einem neuen Blogeintrag nennt Avast weitere Details zum Schadcode in CCleaner 5.33.6162. Dazu zählen konkrete Angriffsziele und Infektionszahlen sowie Angaben zu möglichen Herkunftsländern der Täter.

Im Rahmen einer Backup-Analyse des Command-and-Control (C&C)-Servers, der mit der Malware-Komponente des verseuchten CCleaners kommunizierte, hat Avast neue Erkenntnisse zu Angriffszielen und Täter gewonnen. In einem am heutigen Montag veröffentlichten Blogeintrag beziffert der AV-Hersteller die Gesamtzahl aller Verbindungen mit dem C&C-Server auf 5.686.677. Diese verteilen sich auf 1.646.536 – anhand ihrer MAC-Adressen eindeutig identifizierbare – Rechner.

Der zuvor veröffentlichte Hinweis, dass die vom Server ausgelieferte Payload lediglich auf wenige große Firmen abzielte, behält weiterhin seine Gültigkeit: Avast listet als potenzielle Angriffsziele Domains von insgesamt 25 Firmen auf. Nur an 12 von ihnen wurde der Schadcode tatsächlich ausgeliefert. Aktiviert wurde er auf insgesamt 40 PCs, von denen mehr als die Hälfte in zwei taiwanischen und japanischen Unternehmen stehen. In Deutschland wurde laut Avasts Angaben lediglich ein einziger, zur Unternehmensgruppe Gauselmann (ein Hersteller von Spielautomaten) gehöriger Rechner infiziert. Die betroffenen Firmen seien informiert und ihnen weiterführende technische Details mitgeteilt worden.

Die Tabelle listet die Domains der 12 Unternehmen auf, die erfolgreich von der zusätzlichen CCleaner-Payload angegriffen wurden.

Kriminalität als Fulltime-Job
Bereits in einer vorangegangenen Analyse vom vergangenen Donnerstag hatte Avast die Angreifer im asiatischen Raum – möglicherweise in China – verortet. Um diese Hinweise zu validieren, haben die Sicherheitsexperten die Zeitpunkte des C&C-Server-Zugriffs durch dessen Betreiber analysiert. Sie stellten dabei Regelmäßigkeiten fest, die "typisch für Arbeitende im IT-Bereich" seien: Einen Acht-Stunden-Tag, gefolgt von vier bis fünf Stunden Inaktivität und vereinzelten Zugriffen am Abend. Aus der sehr geringen Zugriffszahl an Wochenenden schlossen sie außerdem, dass es sich nicht um arabische Staaten handeln könne.

Avast grenzte die in Frage kommenden Zeitzonen auf UTC+4 und UTC+5 ein. Somit sei es wahrscheinlich, dass die Angreifer aus Russland, dem östlichen Teil des Nahen Ostens, Zentralasien oder auch Indien stammten. Zu dieser Eingrenzung passe auch die Tatsache, dass weder russische noch chinesische oder indische Firmen zu den Angriffszielen gezählt hätten.

Quelle: Heise.de