Aanvallers verstoppen malware in legitieme versie van CCleaner

Onderzoekers hebben malware aangetroffen in een tweetal legitieme versies van CCleaner, software die gebruikers helpt hun systeem ‘op te schonen’. Het gaat om 32-bit versie van v5.33.6162 van CCleaner en v1.07.3191 van CCleaner Cloud. Opvallend is dat de CCleaner v5.33.6162 via de legitieme downloadserver van softwareontwikkelaar Piriform werd verspreid.

De malware is ontdekt door de Talos Security Intelligence and Research Group van Cisco. De onderzoekers melden dat tijdens een test van nieuw ontwikkelde technologie om exploits te detecteren malware werd aangetroffen in CCleaner 5.33. Piriform, dat in juli werd overgenomen door Avast, meldt in een aparte blogpost dat deze versie is vrijgegeven op 15 augustus en tot 12 september beschikbaar is geweest via zijn downloadserver.

CCleaner Cloud

Piriform meldt dat de malware ook is aangetroffen in CCleaner Cloud v1.07.3191, de cloud gebaseerde versie van CCleaner. Deze versie werd op 24 augustus vrijgegeven en is op 15 september vervangen door een nieuwe versie, waarin de gecompromitteerde code niet aanwezig is.

De malware heeft volgens Piriform mogelijk ’niet-gevoelige data’ van gebruikers verzameld. Het gaat hierbij ondermeer om de naam van de computer, het IP-adres en een overzicht van zowel geïnstalleerde software, actieve software en aanwezige netwerkadapters. Het bedrijf benadrukt geen aanwijzigingen te hebben dat andere data eveneens is uitgelekt.

Toegang tot de ontwikkelomgeving

Talos vermoedt dat de aanvallers toegang hebben gehad tot een deel van de ontwikkelomgeving van CCleaner en via deze weg malafide code in CCleaner hebben weten te verstoppen. Dit maakte het mogelijk de malware via een legitieme versie van CCleaner die werd aangeboden op de officiële downloadserver van Piriform te verspreiden. Gebruikers van CCleaner v5.33 wordt geadviseerd zo snel mogelijk te updaten naar v5.34, waarin de malafide code niet aanwezig is.