2300564

CCleaner-Attacke: Angreifer hatten schlimmere Pläne

21.09.2017 | 12:48 Uhr |

Es gibt neue Infos zum tatsächlichen Ziel der CCleaner-Attacke. Es hätte viel schlimmer kommen können. Und: CCleaner 5.35 ist verfügbar.

Avast, Besitzer der CCleaner-Entwickler von Piriform, hat neue Informationen zur CCleaner-Attacke veröffentlicht. Vor zwei Tagen hatte Avast neue, spannende Infos zur Malware-Panne bei CCleaner verkündet und versprochen, die Attacke weiter intensiv zu analysieren und neue Informationen so schnell wie möglich publik zu machen. Das ist nun per neuem Blog-Eintrag geschehen und die neuen Infos sind durchaus beunruhigend, denn sie zeigen: Es hätte alles noch viel, viel schlimmer kommen können.

Wie wir bereits berichtet haben, konnten bisher unbekannte Angreifer eine Malware in der über die offizielle Website ausgelieferten 32-Bit-Version von CCleaner 5.33.6162 implantieren, die dann zwischen dem 15. August und 15. September 2017 an etwa 2,27 Millionen Nutzer ausgeliefert worden war. Die Malware verwendete einen "Command and Control"-Server (CnC-Server), der schnell abgeschaltet werden konnte. Bisher war davon ausgegangen worden, dass dieser Server in einer zweiten Stufe keinen Payload an die Nutzer ausliefern konnte. Die genauere Analyse des CnC-Servers hat aber laut Avast nun ergeben, dass diese Annahme falsch war. Einige hundert Rechner erhielten demnach sehr wohl einen solchen Payload in der zweiten Stufe. Diese Rechner standen also im Kontakt mit dem CnC-Server und tauschten Daten aus.

Der Angriff hätte viel schlimmer enden können - große Unternehmen im Visier

Laut Avast waren zum Zeitpunkt, als die Server offline genommen wurden, große Technologie- und Telekommunikationsunternehmen in Deutschland, Großbritannien, Japan, Taiwan und den USA das Ziel der Attacke. Oder, wie es Avast anders ausdrückt: Die Mehrzahl der typischen CCleaner-Nutzer war für die Angreifer letztendlich völlig uninteressant, stattdessen hatten die Angreifer die Nutzer in den besagten Unternehmen im Visier. Die Namen der betroffenen Unternehmen will Avast nicht öffentlich nennen. Alle betroffenen Unternehmen seien aber kontaktiert worden.

Den Payload der zweiten Stufe bezeichnet Avast als "relativ komplexen" Code, der zwei DLL-Komponenten verwende. Die erste Komponente versucht unter anderem, in Kontakt mit einem weiteren CnC-Server zu treten, um dann von diesem weitere Anweisungen in der Zukunft zu erhalten. Die zweite Komponente sollte sicherstellen, dass der Schädling auf dem Rechner verbleibt. Interessant seien die DLLs auch, weil laut Avast der Code anderer Hersteller verwendet und um schädliche Funktionalitäten ergänzt wurde. Der 32-Bit-Code sei etwa durch eine veränderte Version der Datei VirtCDRDrv32.dll aktiviert werden, der Teil des Winzip-Pakets von Corel sei. Die 64-Bit-Variante nutzte dagegen eine modifizierte Version der Symantec-DLL EFACli64.dll. Unterm Strich, so heißt es in dem Blog-Eintrag von Avast, seien Techniken zum Einsatz gekommen, die darauf schließen lassen, dass es sich um sehr raffinierte Angreifer handelt.

Da stellt sich natürlich auch die Frage, wer für diesen Angriff verantwortlich ist. Gemeinsam mit den Strafverfolgungsbehörden werde weiterhin versucht, den Angriff zurückzuverfolgen und die Angreifer zu fassen. Genauere Informationen dazu will Avast aber nicht liefern, um die Chancen zu erhöhen, die Täter zu ermitteln und zu fassen.

CCleaner 5.35 verfügbar

Den Endanwendern wird empfohlen, die aktuelle Version von CCleaner zu installieren. Derweil ist auch CCleaner 5.35 erschienen. Die neue Version war als Nachfolger der Version 5.34 notwendig geworden, nachdem ein neues Zertifikat zur Signierung notwendig geworden war, weil das alte widerrufen werden muss, nachdem es auch bei CCleaner 5.33 zum Einsatz kam. Hinzu kommt seitens Avast die dringende Empfehlung, stets eine aktuell gehaltene Sicherheitssoftware zu verwenden.

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2300564