Floxif w CCleanerze: znany wektor ataku i cele atakujących
Początek bieżącego tygodnia mógł być dla wielu osób stresujący: w popularnym CCleanerze znaleziono złośliwy kod, który przenosił oprogramowanie Floxif. Informację szybko oficjalnie potwierdzono, a później tego samego dnia znaliśmy już także metody na sprawdzenie infekcji komputera i ewentualną ochronę. Do teraz trwały jednak spekulacje co do cel ataku. Dzięki Grupie Talos znamy już nieco więcej szczegółów, w tym pierwotny wektor ataku
Talos opisuje szczegóły techniczne związane ze scenariuszem ataku, grupa dotarła także do wykorzystywanych przez serwer plików, które poddano analizie. Są to dane dotyczące nieco wcześniejszych działań przestępców (z poprzedniego tygodnia), ale wynika z nich między innymi, iż celem miały być komputery w domenach największych korporacji, w tym Cisco, Microsoftu, Google, Intela i nie tylko. Choć teoretycznie złośliwe oprogramowanie mogło dotrzeć do każdego, w rzeczywistości instalowane miało być tylko na wybranych sprzętach.
Potwierdzają to liczby, o których wspomina się w raporcie: według pozyskanych danych, infekcja dotarła do 700 tysięcy komputerów, i to tylko w przeciągu 5 dni. W sumie potencjalnych ofiar może być jednak znacznie więcej, choć warto zaznaczyć, że drugi etap złośliwego oprogramowania trafił do wielokrotnie mniejszej liczby sprzętów, nie liczonej nawet w tysiącach ani setkach.
Jak zauważa Zaufana Trzecia Strona, wiele wskazuje na to, iż za atakiem mogą stać profesjonaliści: Ta teoria jest interesująca i pasuje do całej układanki. Talent napastników i ich spore umiejętności wskazują, że za atakiem stali zawodowcy, którzy odnieśli z niego ogromne korzyści. Do takich wniosków doszli badacze z Kaspersky Lab, którzy doszukali się podobieństw w zastosowanych metodach programowania do wcześniejszych przypadków z grupą APT.
W trosce o dalsze bezpieczeństwo swoich użytkowników, w Sieci pojawiła się nowa wersja CCleanera oznaczona numerem 5.35, która wprowadza nowy podpis cyfrowy. Twórcy przypominają, że na automatyczną aktualizację mogą liczyć tylko użytkownicy płatnej wersji. Darmowa edycja wymaga zainstalowania nowej wersji ręcznie – na przykład za pośrednictwem naszej bazy.
