Backdoor gevonden in Piriform CCleaner

ma, 18/09/2017 - 13:31

Door: Redactie WINMAG Pro

De installer van de populaire CCleaner-utility van Piriform, software waarmee je je computer en registers schoonhoudt, heeft een maand lang online gestaan met een ernstige backdoor. De software was gesigneerd en leek daarom legitiem en was ook gewoon van servers van Piriform te downloaden.

De backdoor werd ontdekt door onderzoekers van Cisco Talos. Zij vonden de backdoor in de installatiebestanden van de 32-bitsversies van CCleaner v5.33.6162 en CCleaner Cloud v1.07.3191. De backdoor is door Piriform zelf ook bevestigd. Volgens de onderzoekers van Talos bestaat de malware uit twee componenten. Het eerste component verzend informatie over geïnfecteerde systemen naar een server in de VS, waarschijnlijk in handen van de aanvallers, terwijl een tweede component in staat was (kwaadaardige) code uit te voeren op geïnfecteerde systemen.

Bron: Cisco Talos

Backdoor in CCleaner

Volgens de onderzoekers van Talos is het onwaarschijnlijk dat het tweede component veelvuldig geactiveerd is, aangezien zij geen activiteit hebben waargenomen die wijst op activatie van het tweede component. Zou dit wel het geval zijn, dan was het resultaat mogelijk desastreus gezien het hoge aantal gebruikers van CCleaner. De software wordt volgens Piriform zelf ongeveer 5 miljoen keer per week gedwonload.

Gezien het feit dat de malware lastig te detecteren is door huidige anti-malwaresoftware, is het zaak om te controleren of je al dan niet eerder genoemde versies op je systemen hebt staan en deze van het systeem te verwijderen. Momenteel werkt Piriform samen met de politie in een onderzoek naar het incident en hoe deze heeft plaats kunnen vinden. Details over het onderzoek van Talos vind je hier.