CCleaner Updateserver kompromitiert

Ein Bericht der Internetsicherheitsfirma Talos wird Millionen PC-Nutzer aufschrecken. In ihrem Blog erklärt die Firma, dass der britische Softwarehersteller Piriform vermutlich wochenlang eine Version seiner Wartungssoftware CCleaner ausgeliefert hat, in der Unbekannte eine hinterhältige Malware versteckt hatten.

Talos warnt, dass potenziell Millionen Menschen betroffen sein könnten, da die kostenlose Version von CCleaner ausgesprochen populär ist. Schon im November 2016 meldete Piriform, die Software sei bereits zwei Milliarden Mal heruntergeladen worden. Seither, so Talos, steige die Zahl der Nutzer wöchentlich um fünf Millionen.

CCleaner ist ein Programm, mit dem sich die Leistung von PC und Android-Smartphones verbessern lassen soll, indem es überflüssige Dateien löscht und das System nach Fehlern absucht und diese behebt. Im Juli wurde die britische Herstellerfirma Piriform von Avast übernommen, einem der weltweit größten Hersteller von Antivirensoftware. Zum Zeitpunkt der Übernahme soll CCleaner 130 Millionen aktive Nutzer gehabt haben.

Die Entdeckung war ein Zufall

Der Fund der Malware war offensichtlich ein Zufall. Die Entwickler von Talos wollten eigentlich eine neue Software testen, die sogenannte Exploits, bisher unbekannte Sicherheitslücken, in Programmen aufspüren soll. Dabei wurde ihre Aufmerksamkeit auf das Installationsprogramm von CCleaner 5.33 gelenkt.

Eine eingehende Untersuchung ergab, dass die Download-Server des Herstellers mit der Wartungssoftware auch eine getarnte Schadsoftware auf die Rechner der Nutzer spielten. Am Montag gestand Piriform das Problem in einem eigenen Blogpost ein.

Aushorchen der Opferrechner

Demnach sind die Versionen Cleaner 5.33.6162 und CCleaner Cloud 1.07.3191 betroffen, die zwischen dem 15. August und dem 12. September verteilt wurden. Sobald sie aktiv war, habe die Software diverse Informationen über den befallenen Computer gesammelt, verschlüsselt und an einen externen Kommandoserver gesendet, heißt es. Unter anderen habe die Malware nach Informationen über das installierte Windows samt Updates gesucht und den Namen des Rechners, eine Liste der installierten Programme sowie etwa die Hardwareadressen der Netzwerkkarten übertragen.

Im Anschluss sei eine weitere, verschlüsselte Schadsoftware heruntergeladen, aber offenbar nicht ausgeführt worden.

Glück gehabt – dieses Mal

Piriform untersucht nun in Zusammenarbeit mit Ermittlungsbehörden, wie die Schadsoftware in CCleaner eingeschleust worden sein kann und wer die Täter sind. Die Server der Angreifer seien abgeschaltet, dazu sei eine saubere CCleaner-Version veröffentlicht worden. Nutzer der Cloud-Variante sollen diese bereits automatisch aufgespielt bekommen haben, Anwender der normalen Desktop-Version sollen das entsprechende Update vom Piriform-Server herunterladen.

Talos zufolge zeigt der Angriff vor allem eines: Welchen Aufwand Kriminelle auf sich nehmen, um ihre Schadsoftware über Quellen zu verbreiten, denen ihre potenziellen Opfer vertrauen, nämlich die Update-Server renommierter Unternehmen. Dass der Schädling in diesem Fall entdeckt worden ist, war nur einem Zufall zu verdanken.

Quelle: Spiegel.de


Mit freundlichen Grüßen - Best regards
Andree Herrmann
( Hostmaster @ IT-Home4u )

Leave a Comment

Copyright © 2013 - - IT-Home4u