CCleaner mit Malware im Schlepptau
Das populäre Tool CCleaner ist Opfer einer Malware geworden
Bild: teltarif.de
Unbekannten Hackern ist es gelungen, auf fast 2,3 Millionen Computern eine Schadsoftware zu platzieren, die sie im Update eines Programms vom Antiviren-Spezialisten Avast versteckten. Die Software der Angreifer sei mit den im August bereitgestellten Versionen des Wartungs-Werkzeugs CCleaner mitinstalliert worden, räumte die von Avast übernommene Entwicklerfirma Piriform ein. Sie war darauf ausgelegt, Informationen über den PC zu sammeln. Avast gehe allerdings davon aus, dass man die Gefahr gebannt habe, noch bevor Schaden entstanden sei, erklärte das Unternehmen.
Auf den Angriff hingewiesen hatte die IT-Sicherheitsfirma Cisco Talos, der ein ungewöhnliches Verhalten der CCleaner-Version aufgefallen war. Das jüngste Update sei wieder sicher. Avast selbst schätzt, dass rund 2,27 Millionen Nutzer die Software auf ihre Windows-Rechner installiert hatten. Die Schadsoftware sammelte auf dem PC Informationen etwa zu installierten und aktiven Programmen sowie deren Zugriffsrechten - eine mögliche Vorbereitung darauf, einen Computer zu kapern.
Zweistufige Backdoor mit Schwierigkeiten
Das populäre Tool CCleaner ist Opfer einer Malware geworden
Bild: teltarif.de
Bei der Analyse durch Cisco Talos seien ungewöhnlich verdächtige Aktivitäten aufgefallen, die allesamt mit einer unbekannten IP-Adresse zusammenhingen. Nach einer näheren Analyse zeigten sich bei den Versionen 5.33.6162 für 32-Bit Windows-Betriebssysteme und CCleaner Cloud in der Version 1.07.3191 als Cloud-Lösung die manipulierten Binärdateien. Ersten Berichten zufolge sollen potenziell auch die 64-Bit-Versionen verseucht gewesen sein. Ob auch die portablen Versionen der Software betroffen sind, ist nicht bekannt.
Wie genau die Angreifer die manipulierten Versionen einschleusen konnten ist unklar. Schließlich gibt Piriform an, dass die kompromittierten Versionen noch vor der finalen Freigabe einschließlich digitaler Signatur eingeschleust wurden. Daraufhin wurden die manipulierten Versionen am 12. sowie am 24. August verteilt. Ob die Angreifer auch die Update-Server infiltriert haben ist ungewiss, da weder Piriform noch Avast die genutzten Server selbst betreiben.
Laut Piriform lief der Angriff so ab, dass die manipulierten Binärdateien eine zweistufige Backdoor enthielten, über welche von der zuvor angesprochenen IP-Adresse Schadcode nachgeladen und in das Windows-System eingeschleust werden konnte. Laut den Informationen soll der automatisierte Download der eigentlichen Malware in keinem der bekannten Fälle tatsächlich funktioniert haben.
Zugutehalten kann man den Entwicklern von Piriform immerhin, dass sie in ihrer offiziellen Stellungnahme relativ detailliert auf den technischen Aspekt des Angriffs eingehen, erklären und dokumentieren.
Update 21. September: Der jüngst entdeckte Malware-Angriff über ein signiertes Update für CCleaner war ein gezielter Angriff. Dabei sollten Nutzer in Unternehmen ausspioniert werden, wie CCleaner-Eigentümer Avast durch Untersuchungen herausgefunden hat. Update Ende
In einer weiteren Meldung lesen Sie, wie Sie Ihr Smartphone mit wenigen Handgriffen selbst schützen können.