Buzz
Nhóm nghiên cứu bảo mật từ Cisco Talos đã phát hiện rằng máy chủ do Avast quản lý đang bị tấn công bởi hacker. Họ đã thay thế phiên bản CCleaner gốc bằng mã độc và lan truyền cho hàng triệu người dùng trong khoảng một tháng qua.
Nếu bạn đang sử dụng CCleaner phiên bản 5.33, hãy gỡ ngay để tránh rủi ro từ mã độc.
Cuộc tấn công này là một ví dụ tiêu biểu của chiến lược 'Supply Chain Attack'. Vào đầu năm nay, các máy chủ cập nhật của MeDoc cũng đã trải qua một cuộc xâm nhập tương tự, dẫn đến việc phát tán ransomware Petya, gây ảnh hưởng lớn trên toàn thế giới.
Cả Avast và Piriform đều xác nhận rằng phiên bản CCleaner 5.33.6162 và CCleaner Cloud 1.07.3191 cho Windows 32-bit đều bị tác động. Vì vậy, hãy gỡ hoàn toàn cài đặt CCleaner phiên bản 5.33 và thay thế bằng phiên bản mới nhất tải tại đây: Download CCleaner.
Phần mềm độc hại này đã được phát hiện vào ngày 13 tháng 9, với khả năng đánh cắp dữ liệu từ các máy tính bị nhiễm và chuyển gửi thông tin đó tới các máy chủ điều khiển từ xa.
Nếu bạn đang sử dụng CCleaner phiên bản 5.33, hãy gỡ ngay để tránh rủi ro từ mã độc.
Điều đặc biệt, các hacker đã đặt chữ ký số hợp lệ của Piriform cho tệp cài đặt độc hại (phiên bản 5.33) và sử dụng thuật toán tên miền (Domain Generation Algorithm - DGA). Trong trường hợp máy chủ của hacker bị tắt, DGA có khả năng tạo ra các tên miền mới để thu nhận và truyền thông tin đã bị đánh cắp.
'Tất cả các thông tin thu thập đều được mã hóa bằng base64, sử dụng bảng chữ cái tùy chỉnh', theo Paul Yung, phó chủ tịch sản phẩm tại Piriform. Sau đó, thông tin được mã hóa sẽ được gửi đến địa chỉ IP bên ngoài có địa chỉ 216.126.x.x thông qua yêu cầu HTTPS POST.
Phần mềm độc hại này được lập trình để thu thập một lượng lớn thông tin người dùng, bao gồm:
- Tên máy tính.
- Liệt kê tất cả các ứng dụng đã được cài đặt, bao gồm cả các bản cập nhật của Windows.
- Danh sách các tiến trình đang chạy trên hệ thống.
- Địa chỉ IP và địa chỉ MAC của máy tính.
- Thêm vào đó, cung cấp thông tin về việc tiến trình có đang chạy dưới quyền quản trị (Admin) và xác định liệu đó có phải là hệ điều hành 64-bit hay không.
Cách loại bỏ phần mềm độc hại trên máy tính của bạn?
Dữ liệu từ các nhà nghiên cứu Talos cho biết, hàng tuần có khoảng 5 triệu người tải về CCleaner (hoặc Crap Cleaner), đây là con số đáng kể, cho thấy có thể có hơn 20 triệu người dùng bị ảnh hưởng bởi phiên bản CCleaner độc hại.
“Cuộc tấn công này có thể gây ra nhiều ảnh hưởng nghiêm trọng vì số lượng hệ thống bị nhiễm phần mềm độc hại cực kỳ cao. Đến tháng 11 năm 2016, CCleaner tuyên bố đã có hơn 2 tỷ lượt tải về trên toàn thế giới và mỗi tuần có thêm 5 triệu lượt tải ứng dụng, tức là con số này sẽ tiếp tục tăng lên”, theo các nhà nghiên cứu Talos.
Tuy nhiên, theo ước tính của Piriform, khoảng 3% người dùng (tương đương với 2.27 triệu người) có thể đã bị ảnh hưởng bởi cài đặt độc hại này.
Người dùng có nguy cơ trở thành mục tiêu, nên nhanh chóng cập nhật phiên bản CCleaner 5.34 trở lên để bảo vệ máy tính. Đồng thời, sử dụng các phần mềm diệt virus, malware hàng đầu như KIS, AVAST... để đảm bảo an toàn cho máy tính.
