Cyber schurken corrumperen de CCleaner 5.33 versie

Malware in een anti-malware vermomming

CCleaner, een algemeen bekend en populair hulpmiddel voor het verwijderen van adware en andere soorten malware van computers en voor het behoud van geoptimaliseerde processen, slaagde er niet in om aan de aanval van cybercriminelen te ontsnappen. Alle gebruikers, die tussen 15 augustus en 12 september de 5.33 versie hebben gedownload, riskeren om gekaapt te worden door de Floxif-malware.

Meer dan 2 miljoen gebruikers in de VS, Rusland en West-Europa konden waarschijnlijk worden getroffen ten gevolge van de grote populariteit van de software in deze landen en regio's. Terwijl in de praktijk alleen 32-bits systemen werden beïnvloed, wordt toch aan alle gebruikers aanbevolen om de software bij te werken naar de laatste editie.

Wat doet het Floxif-virus?

IT-onderzoekers hebben ontdekt dat het Floxif-virus gegevens verzamelt over de technische specificaties van het slachtoffer en deze doorstuurt naar de externe Command and Control-server. Cisco Talos-onderzoekers, die de gecorrumpeerde versie hebben geïdentificeerd, hebben ook aangetoond dat de malware verzoeken doet aan het specifieke IP-adres van 216.126.225.148.

In het begin heeft de gecorrumpeerde versie geen argwaan gewekt, omdat het was ondertekend met de geldige digitale handtekening. Op die manier werd de malware geleverd als de vermeende 5.33 versie die was gepubliceerd door Piriform (de oorspronkelijke ontwikkelaar van de bedreiging, nu eigendom van Avast).

Daarnaast bleef de infectie ingebed in de software 601 seconden wachten voordat hij begon met zijn activiteiten. Dit werd gedaan om niet met ‘sandboxing’ in aanraking te komen. Interessant genoeg heeft het Floxif-virus zichzelf alleen in werking gesteld in het systeem met administratieve rechten.

Na het downloaden en uitvoeren van het updateproces, detecteert en vervangt de malware de bestaande CBkdr.dll door de identieke maar gecorrumpeerde variant. Naast het bijhouden van de informatie en vervolgens doorzenden naar de server, vertoonde de infectie geen ander gedrag.

Cyber-beveiligingsspecialisten vermoeden hoe de malware erin slaagde om het Avast anti-malware detectiesysteem te passeren. Sommigen speculeren dat de dader misschien heeft kunnen communiceren met een insider die toegang had tot de software ontwikkeling.

Is het veilig om nu CCleaner te downloaden?

Terwijl de installateurs van 5.33 versie nog beschikbaar zijn, is de malware succesvol verwijderd. Avast publiceerde alweer de 5.34 versie op 13 september.

Hoewel gewone gebruikers geen kans hebben gehad om deze invasie te voorkomen omdat het hulpmiddel zich voordeed als de legitieme versie, kunnen ze het volgende advies toch nuttig vinden:

• maak gebruik van een paar verschillende malware preventie en eliminatie tools
• download ze vanaf de officiële sites en installeer de nieuwste versie zodra die is gepubliceerd