Avast: 730.000 systemen draaien nog besmette CCleaner, maar lopen geen risico

Avast, het beveiligingsbedrijf dat CCleaner-ontwikkelaar Piriform heeft overgenomen, heeft gereageerd op het nieuws dat de software een backdoor bevatte. Momenteel zouden nog 730.000 systemen de geïnfecteerde versie van CCleaner draaien, maar geen risico lopen.

Dat laatste baseert Avast op de mededeling dat de command-and-controlservers sinkholed zijn door eigen mensen en door Talos. Dat bedrijf legde maandag uit dat de malware gebruikmaakt van een algoritme om domeinnamen aan te maken om zo met de c2-server te communiceren als directe communicatie niet mogelijk is. Het bedrijf wist alle mogelijke domeinen in handen te krijgen om zo te voorkomen dat de aanvallers een payload naar besmette systemen kunnen sturen. Maandag meldde Avast dat de geïnfecteerde versie aanwezig was op 2,27 miljoen systemen.

In de blogpost claimt het bedrijf dat er geen schade is bij klanten van Piriform. Daarnaast refereert het aan de Equifax-hack en beweert het dat ‘consumenten en de media zeer gevoelig zijn door de late melding van dit incident’. Avast meldt bovendien dat het ervan uitgaat dat de aanvallers wellicht al sinds 3 juli toegang hadden tot de systemen van Piriform, dus voordat de overname plaatsvond. De kwaadaardige versie van CCleaner werd op 15 augustus verspreid en was te downloaden tot 12 september, zo bleek maandag.

Avast zegt van de malware op de hoogte te zijn gebracht door beveiligingsbedrijf Morphisec, dat een eigen blogpost aan het incident heeft gewijd. Daarin schrijft het dat op 20 en 21 augustus de eerste kwaadaardige CCleaner-installaties detecteerde. Vervolgens meldde het zijn bevindingen op 12 september aan Avast. Daarna kon op 15 september de c2-server offline gehaald worden, terwijl Talos zich bezighield met zijn eigen onderzoek en de eerdergenoemde domeinen in handen kreeg.

In zijn reactie spreekt Avast het door Talos gegeven advies tegen dat geïnfecteerde systemen hersteld moeten worden naar een datum voor 15 augustus of een herinstallatie nodig hebben. Het bedrijf zegt dat de tweede component van de malware nooit is geactiveerd. Daarbij baseert het zich op eigen gegevens, afkomstig van ongeveer dertig procent van de CCleaner-gebruikers die ook beveiligingsproducten van Avast gebruiken. Wat er bij de overige zeventig procent is gebeurd, blijkt niet uit de berichtgeving van Avast.

Het is niet duidelijk wie achter de aanval zit; Piriform wilde daar maandag geen aannames over doen. Intussen heeft Kaspersky de backdoor geanalyseerd en laat het in een tweet weten dat de malware code bevat die eerder is gebruikt in tools van een van de groepen die vallen onder de ‘Axiom-paraplu’. Axiom werd eerder in verband gebracht met China. Ondanks deze aanwijzing is het zeer moeilijk om een verantwoordelijke partij aan te wijzen.


Comments are closed.