CCleaner : Avast revient (encore) sur l’attaque

Les analyses se poursuivent afin de parvenir à mieux cerner la nature exacte de l’attaque ayant visé le logiciel d’analyse CCleaner. Ce logiciel développé par la société Piriform, aujourd’hui propriété d’Avast, a en effet fait face à une attaque sophistiquée au début du mois de septembre. L’une de ses versions mises en ligne sur le site embarquait un malware, qui a été téléchargé par pas moins de 2,7 millions d’utilisateurs. Pourtant la charge utile de ce malware n’a pas été servie à l’ensemble des utilisateurs, mais uniquement à quelques machines bien précises, liées à des sociétés opérant dans le domaine des hautes technologies. C’était la découverte faite par les équipes de Cisco, après avoir pu consulter une archive du serveur de contrôle utilisé par les cybercriminels pour la diffusion de la charge utile.

 

Face à ces révélations, Avast s’est donc également fendu d’un post de blog afin de clarifier les informations en s’appuyant sur leurs propres analyses de l’infrastructure en question. La société explique sur le serveur identifié comme le premier serveur de contrôle du malware ne contenait que 3 jours de logs, un aspect que les chercheurs de Talos avaient déjà rappelé lors de leur propre analyse. Mais les ingénieurs d’Avast sont parvenus à déterminer que les données du serveur avaient été migrées vers une autre machine et que les cybercriminels avaient reconstruit la base de données complète incluant le nombre de connexions au serveur ainsi que le nombre de machines ayant été infectées avec la deuxième partie du virus.


L’occasion d’obtenir des chiffres plus précis sur la taille de l’infection. Ainsi, si on connaît le nombre de machine ayant téléchargé le virus, on apprend dans le post de blog d’Avast que le nombre de machines ayant interrogé le serveur de contrôle s’élève à 1 646 536. Un chiffre moindre que celui des infections, mais le fonctionnement du malware prévoyait plusieurs cas de figure dans lesquels le malware devait faire profil bas.

Avast donne également le nombre total de machines ayant reçu la charge utile du malware et celui-ci s’élève à 40 au total. Les équipes de Cisco, qui s’appuyaient sur des données incomplètes, avaient ainsi identifié 20 machines ayant été visées par la seconde partie du malware. Sans surprise, les 40 machines identifiées par Avast sont également liées à plusieurs grosses entreprises du domaine des hautes technologies, ce qui confirme la thèse d’une attaque à des fins d’espionnage industriel. Avast fournit également une liste de cible « optionnelle » ayant été identifiés puis finalement délaissée par les attaquants.

L’éditeur a contacté les entreprises concernées et poursuit son investigation sur ce malware et de ses différentes phases, en lien avec les autorités.

ZDNet