Le logiciel CCleaner, extrêmement populaire pour l’optimisation et la maintenance du système, a été infecté par un malware pendant un mois.
Depuis un mois, l’application de maintenance et d’optimisation CCleaner a distribué des malwares dans ses canaux officiels. Il semblerait que cela a été fait via un exploit au sein du serveur de téléchargement de l’installateur CCleaner, ce qui signifie que chaque fois que quelqu’un a téléchargé le logiciel par des moyens officiels, ils ont involontairement téléchargé un malware.
Bien que les logiciels malveillants de tous types se propagent le plus souvent à travers des attaques de phishing comme les pièces jointes infectées et des liens malveillants, une tactique qui connaît beaucoup de succès est d’infecter des plateformes de confiance. Que ce soit le détournement de comptes de distribution légitimes, ou en l’occurrence les serveurs de téléchargement eux-mêmes, ces attaques rendent les victimes vulnérables aux infections même si elles respectent les pratiques de sécurité appropriées.
La charge utile pour cette attaque a plusieurs tâches une fois installée. Comme Talos l’explique dans son décryptage de l’attaque, elle reste d’abord inactive afin de ne pas être détectée, avant de vérifier s’il a un accès administrateur. Dans le cas contraire, elle s’arrête pour éviter la détection, mais si un compte est trouvé, des informations sur le système sont collectées puis envoyées à un serveur distant pour une collecte ultérieure.
Le malware cherche alors à se connecter à plusieurs autres domaines, ce qui entraîne le téléchargement potentiel de logiciels plus malveillants.
Piriform, le développeur du logiciel, a depuis présenté des excuses concernant cette attaque. Il avertit que toute personne exécutant CCleaner version 5.33.6162 et CCleaner Cloud version 1.07.3191 pourrait être affectée. Il suggère à quiconque qui l’exécute de faire une mise à jour de version à la dernière version, qui a été confirmée comme étant non contaminée.
Même si les ramifications de ce malware sont rapidement contrées, l’un des pires aspects de ce type d’exploit est qu’il pourrait réduire la confiance que les gens ont dans les sources et les institutions légitimes. Piriform a été acheté par la société anti-malware Avast en juillet, tandis qu’une autre entreprise anti-malware, Symantec, a publié un lien de téléchargement pour une version de CCleaner infectée, malgré son certificat de sécurité valide.
