بدافزار پنهان شده در نرم‌افزار CCleaner شرکت‌های بزرگ را مورد هدف قرار داده است

همان‌طور که گفته شد اخیرا سرورهایی که برای بارگذاری CCleaner استفاده می‌شدند، مورد حمله قرار گرفته و کسانی که در بازه‌ی زمانی ۲۴ مرداد تا ۲۱ شهریور این نرم‌افزار را از سایت رسمی‌اش دریافت نموده‌اند در معرض خطر می‌باشند.

متخصصان امنیت در هفته گذشته به کاربران توصیه کردند که اگر از نسخه‌ی V5.33.6162 برای ویندوزهای ۳۲ بیتی، نرم‌افزار CCleaner استفاده می‌نمایند آن را به آخرین نسخه ارتقا داده و دیگر نگران نباشند. اما متخصصان Cisco Talos که قبل‌تر موفق به کشف حمله به سرورها شده بودند، پس از بررسی سرور C2 مهاجمین دریافتند که بدافزار یافت شده حاوی یک backdoor نیز می‌باشد در حقیقت این بدافزار، حاوی یک payload ثانویه GeeSetup_x86.dll نیز هست و موضوع به این سادگی نمی‌باشد.

مهاجمین CCleaner قصد ایجاد حمله به چه شرکت‌هایی را داشته‌اند

محققین بعد از بررسی سرور C2 مهاجمین به فهرستی از شرکت‌های بزرگی که مهاجمین حمله‌ای را بر ضدشان برنامه‌ریزی کرده بودند دست یافتند. فهرست این شرکت‌ها عبارت بود از:

  • Google
  • Microsoft
  • Cisco
  • Intel
  • Samsung
  • Sony
  • HTC
  • Linksys
  • D-Link
  • Akamai
  • VMware

همچنین محققین در پایگاه داده سرور C2 مهاجمان، فهرستی از ۷۰۰٫۰۰۰ backdoor machine های آلوده به نسخه‌ی آلوده CCleaner یافتند. این ماشین‌های آلوده به payload اولیه بودند. اما علاوه بر این ماشین‌ها، ۲۰ ماشین آلوده به payload ثانویه را نیز یافتند. که این قضیه نشان‌دهنده‌ی نفوذی عمیق‌تر و مقاصد جدی تری می‌باشد.

طراحی بدافزار CCleaner می‌تواند متعلق به چه کشوری باشد؟ قصد مهاجمین از طراحی آن چه بوده است؟

بر طبق اظهارات متخصصین کسپرسکی، برخی کدهای مورد استفاده در بدافزار CCleaner با ابزار مورد استفاده‌ی گروه مهاجم چینی موسوم به Axiom یکی می‌باشد. این گروه با نام APT17 نیز شناخته می‌شوند.

همچنین متخصصان سیسکو گفته‌اند که یکی از فایل‌های کشف شده بر روی سرور مهاجمین با time zone چین تنظیم گشته است.

محققین معتقد هستند که در انتخاب بیست ماشینی که آلوده به payload ثانویه بوده‌اند، نام دامنه، آدرس IP و نام میزبان مد نظر بوده است. آن‌ها بررسی‌های خود را این‌طور جمع‌بندی کرده‌اند، که هدف از طراحی payload ثانویه، در حقیقت جاسوسی صنعتی بوده است.

اگر به این بدافزار آلوده شده‌اید، توصیه می‌گردد تنها به پاک کردن نرم‌افزار CCleaner اکتفا نکرده و نسخه‌ی پشتیبان سیستم‌ها، پیش از ریختن نرم‌افزار CCleaner را بازیابی نمایید.