L'utilitaire de nettoyage de disque très populaire Ccleaner infecté par un logiciel malveillant...
Une version récente du logiciel de nettoyage de disque Ccleaner avait été piratée par un code malveillant. Selon son éditeur Piriform qui a été récemment rachetté par l'éditeur de sécurité Avast, c'est exactement la version 5.33.6162 de Ccleaner en 32 bits ainsi que Ccleaner Cloud v1.07.3191 pour les systèmes Windows qui ont été infectés dans leur module installeur. Dans une alerte au public, Cisco à informé que pas moins de 2,2 millions d'utilisateurs qui sont été touchés par l'infection.
L'infection de Ccleaner a été détectée par des chercheurs de Cisco Talos, fortuitement en cours de tests effectués pour un nouveau système de détection de comportements malicieux. Le processus malveillant détecté communique avec un serveur distant de commande et de contrôle dont les profils des machines infectées sont collectés et qui peut envoyer des commandes à exécuter sur les machines infectées. Le schéma suivant élaboré par Talos Cisco résume les différentes étapes d’exécution du malware chargé avec l'utilitaire Ccleaner:
Les versions Ccleaner mises en ligne pendant la période du 15 août jusqu'au 12 septembre ont été l'objet de cette attaque cybercriminelle en exploitant une faille sur les serveurs de téléchargement de la très populaire application afin d'y injecter le malware. Les responsables de l'éditeur Avast ont déclaré d'avoir détecté le malware aussitôt que les chercheurs de Cisco, mais ne voulaient pas le divulguer pour le public du moment qu'ils menaient une enquête avec les autorités américaines. Un grand nombre d'utilisateurs ont été touchés par l'infection, mais l'éditeur Avast les rassure d'avoir stopper la seconde phase de l'attaque qui pourrait être massive et résulter de réels dégâts. Avast reconnaît que l'attaque préparée est dangereuse du moment que les versions infectées portaient bel et bien un certificat valide de l'éditeur Piriform rachetée par Avast.
La technique utilisée est similaire aux fameuses attaques massives perpétrées récemment à travers le monde comme « NotPetya » : le processus malveillant est caché sous une application légitime, avec des communications avec des sites web et serveurs suspects permettant de commander et contrôler les machines infectées pour préparer une seconde phase de l'attaque qui pourrait être massive et dévastatrice.
Recommandation :
Les utilisateurs qui ont téléchargé et installé les versions infectées de Ccleaner sont recommandés en urgence à le désinstaller et le remplacer par la version la plus récente de l'utilitaire (la version 5.34) disponible sur le site web d'Avast et de faire un scan antivirus sur leurs machines. Pour plus d'informations visiter le blog post d'Avast.
Source : Undernews.fr, Zdnet.fr [ Septembre 2017]
