Pamenate, prieš porą dienų kalbėjome apie tai, kad CCleaner serveriai buvo nulaužti ir milijonai vartotojų įsidiegė kenkėjišką programos versiją? Paaiškėjo, kad čia dar toli gražu ne viskas.

Anksčiau CCleaner atstovai teigė, kad kenkėjiškoje versijoje nėra paslėptų papildomų kenkėjiškų programų (ang. second stage malware) ir vienintelė rekomendacija buvo kuo greičiau įsidiegti naujausią 5.34 arba vėlesnį CCleaner atnaujinimą.

Tačiau nulaužtų serverių tyrimai atskleidė, kad antrojo lygio kenkėjiškas užtaisas (ang. second payload) GeeSetup_x86.dll nusikaltėlių buvo siunčiamas pasirinktoms CCleaner naudojančioms technologijų gigantams:

- Google - Microsoft - Cisco - Intel - Samsung - Sony - HTC - Linksys - D-Link - Akamai - VMware

Nusikaltėliai nulaužtame serveryje pagal domeno pavadinimus, IP adresus ir pagrindinių kompiuterių vardus (ang. hostname) nustatė, kurie kompiuteriai priklauso minėtų kompanijų tinklams ir papildomai nusiuntė antrinį kenkėjišką užtaisą (ang. secondary payload).

Deja šiuo atveju tiesiog pašalinti ir iš naujo įsidiegti atnaujintą CCleaner versiją technologijų gigantams nepakaks. Norint atsikratyti padarinių reikia iš naujo atkurti sistemas iš atsarginių kopijų (ang. backup) ir tik tada diegti paskutinę “švarią” 5.34 arba vėlesnę CCleaner versiją.

#Nulaužtosprogramos #ITsauga #Kibernetinissaugumas