CCleaner : l’utilitaire devrait balayer devant sa porte (MAJ)

Mise à jour : Avast a publié un communiqué revenant sur le nombre
exact de machines affectées. « Nous estimons que 2,27 millions
d’utilisateurs utilisaient la version 5.33.6162 du logiciel CCleaner,
tandis qu’un peu plus de 5000 utilisateurs avaient recours à la version
v1.07.3191 de CCleaner Cloud » précise ainsi CCleaner. La société précise avoir poussé des notifications invitant à mettre à jour le
logiciel, ainsi que des mises à jour automatiques pour les utilisateurs
de l’antivirus Avast. 

Si vous avez installé CCleaner entre le 15 août et le 12 septembre, vous devriez probablement envisager quelques petites vérifications. En effet, la version 5.33 de cet utilitaire de nettoyage très populaire a été infectée avec un logiciel malveillant. L’installeur de cette version a été compromis, comme le confirme dans un communiqué Piriform la société ayant développé CCleaner. Les détails exacts de l’attaque n’ont pas encore été révélés, mais un long post de Talos, l’équipe de sécurité de Cisco, a alerté le public sur cette attaque qui affecte selon eux pas moins de 2,2 millions d’utilisateurs. Selon Piriform, l’attaque visait la version 5.33.6162 de CCleaner en 32 bits ainsi que CCleaner Cloud v1.07.3191. La société éditrice de CCleaner, Piriform, a tout récemment été rachetée par l’éditeur antivirus Avast.

 

Les différentes instructions suivies par le malware après l’installation de la version compromise de CCleaner, selon Talos.

Selon Talos, les premières traces du virus ont été détectées par ses chercheurs aux alentours du 12 septembre. La découverte était complètement fortuite : Talos testait un nouveau système de détection et celui-ci repère un comportement malveillant provenant de l’installateur de CCleaner. En inspectant le processus, les chercheurs se sont aperçus que l’installateur ne se contentait pas d’installer CCleaner, mais profitait également de l’installation pour déployer un malware sur la machine de la cible.

Celui-ci ne s’activait qu’à plusieurs conditions : 600 secondes après son installation, il cherchait à savoir si l’utilisateur de la machine était administrateur et s’il parvenait à contacter son serveur de Command&control via une liste de noms de domaines générés automatiquement. Le malware collectait également les profils des machines infectées et les transmettait au serveur de command&control, qui pouvait en retour lui envoyer des instructions supplémentaires à exécuter.

Sous la ligne de flottaison

L’attaque n’est pas sans rappeler celle ayant permis la propagation du malware NotPetya. Là aussi, un éditeur logiciel avait été compromis afin de diffuser le malware à un grand nombre de machines sans être repéré. Les versions compromises de CCleaner ont ainsi été signées avec un certificat de l’éditeur, ce qui laisse entendre que l’environnement de développement a pu être infiltré par les attaquants.

Le nombre exact de victimes de l’attaque est difficile à évaluer. Les versions embarquant le malware ont été disponibles en ligne pendant environ un mois, du 15 août au 12 septembre. Avast explique avoir repéré l’infection avant les équipes de Talos, mais a déclaré à ZDnet.com avoir refusé de rendre l’attaque publique immédiatement du fait d’une enquête en cours avec les autorités américaines. La société a précisé qu’environ 3% de ses utilisateurs ont été affectés, ce qui représente tout de même pas moins de 3,9 millions d’utilisateurs.

Le CTO d’Avast, Ondrej Vicek, invite néanmoins les utilisateurs à ne pas trop s’inquiéter. Selon lui, les attaquants n’ont pas eu le temps d’exploiter la seconde phase de l’attaque et de causer de réels dommages aux machines infectées. « De ce que nous en savons, c’était une phase de préparation pour une attaque beaucoup plus massive, mais elle a heureusement été stoppée à temps » a ainsi déclaré le CTO de la société antivirus dans les pages de Forbes.

Avast précise que les nouvelles versions de CCleaner proposées sur le site depuis le 12 septembre sont sures et ne contiennent pas de code malveillant.

ZDNet