Sécurité

Infection CCleaner plus grave que prévu, ciblée Microsoft, Google, Samsung

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Plus tôt cette semaine, nous avons annoncé que la populaire application de maintenance du système CCleaner a été infecté par un malware pendant près d’un mois. Nous savons maintenant que l’attaque a été pire qu’on ne le pensait initialement. Le logiciel malveillant CCleaner pourrait être utilisé pour fournir une charge utile de deuxième étape qui s’exécuterait sur des systèmes locaux et effectuerait diverses tâches. Il ne s’agit pas d’une fonctionnalité malveillante inhabituelle, mais les chercheurs ne pensaient pas que cette fonctionnalité avait été utilisée dans ce cas. Nous savons maintenant que c’était le cas et que certains des plus grands acteurs d’Internet étaient ciblés.

Nous savons maintenant combien d’ordinateurs ont été touchés – 2,27 millions au total, ce qui est bien moins que les 5 millions par jour initialement estimés sur la base de la popularité des téléchargements de CCleaner. Mais c’est à peu près la seule bonne nouvelle dans toute la situation. Voici comment Avast, propriétaire de CCleaner, décrit la situation:

[T]Les journaux du serveur indiquaient 20 machines dans un total de 8 organisations auxquelles la charge utile de 2e étape avait été envoyée, mais étant donné que les journaux n’ont été collectés que pendant un peu plus de trois jours, le nombre réel d’ordinateurs qui ont reçu la charge utile de 2e étape était probablement au moins de l’ordre des centaines. Ceci est un changement par rapport à notre déclaration précédente, dans laquelle nous disions qu’à notre connaissance, la charge utile du 2e étage n’a jamais été livrée.

Talos Intelligence a publié un liste des domaines ciblés au cours des quelques jours pour lesquels il dispose de données. La liste révèle une multitude d’entreprises ciblées, notamment les domaines internes de Microsoft, Samsung, Sony, Intel, Google, Cisco et D-Link. Étant donné que cette liste ne couvre que trois jours sur plus de 20 jours pendant lesquels le logiciel malveillant était actif, il est probable que d’autres entreprises aient également été touchées.

CCleaner

Une liste de cibles sondées. Certains sont des réseaux internes.

Avast rapporte que la charge utile secondaire était très ciblée, fortement obscurcie pour éviter la détection automatique, et a été conçue pour se connecter à un serveur CnC qui pourrait être déplacé vers l’un des nombreux domaines. La mise hors ligne des serveurs de commande et de contrôle est l’un des moyens les plus efficaces d’arrêter une épidémie ; un package malveillant qui peut se reconnecter à plusieurs reprises à une liste de serveurs est plus susceptible de rester actif face à une telle action.

Les DLL à l’intérieur de la charge utile sont assez intéressantes. Ils injectent du code malveillant directement dans d’autres DLL légitimes et enregistrent leur propre code malveillant directement dans le registre. Ce n’est pas une attaque de nuit ou une enquête occasionnelle. Le logiciel malveillant et la méthode de diffusion étaient des tentatives sophistiquées de pénétrer dans des entreprises spécifiques, probablement à la recherche d’autres exploits ou de portes dérobées.

Les recherches sur l’attaque sont en cours. Au moment d’écrire ces lignes, les différentes sociétés enquêtant sur les logiciels malveillants ne sont pas certaines si des charges utiles secondaires ont réussi à voler des informations ou non. Si vous souhaitez approfondir les détails du logiciel malveillant, nous vous recommandons le billet de blog de Talos Intelligence (lien ci-dessus), qui contient plus d’informations de bas niveau que celles d’Avast.

Maintenant lis: 20 meilleurs conseils de confidentialité

Bouton retour en haut de la page