2 versions de CCleaner ont été piratées – Sécurité

Inscrivez-vous et recevez toutes l'actualités de notre site.

Publier sur :

Si vous utilisez Ccleaner, alors cet article pourrait vous intéresser.

Qu’est-ce que Ccleaner?

CCleaner est un logiciel gratuit qui a pour fonction de nettoyer l’ordinateur sur lequel il est installé, en supprimant les fichiers et les programmes inutiles.

Le 18 septembre dernier, Paul Yung, VP product chez Piriform, annonçait que la version CCleaner 5.33.6162 et la version Cloud 1.07.3191 avaient été hacker quelques jours plus tôt.
En effet, les experts de Piriform, avec l’aide de Avast Threat Labs, ont découvert q’un bout de code avait été inséré dans le code source de ces deux versions, avant leur publication.



Je vous rassure, à ce jour, le malware à été détecté et supprimé. Piriform a mis à disposition un lien permettant de télécharger la nouvelle version (lien disponible en bas de page).

Fonctionnement du Malware

Cette modification a effectué les actions suivantes, avant le code de l’application principale:

  • Il a déchiffré et décompressé shellcode codé (10 kB en large) – un simple chiffrage basé sur XOR a été utilisé pour cela.
  • Le résultat (16 Ko de taille) était une DLL (bibliothèque de liens dynamiques) avec un en-tête MZ manquant.
  • Cette DLL a ensuite été chargée et exécutée dans un thread indépendant.
  • Ensuite, une exécution normale du code CRT et du CCleaner principal a continué, ce qui a entraîné le thread avec la charge utile en arrière-plan.

En plus, le malware à permis aux criminels informatique de recueillir des informations sur votre appareil, tel-que:

  • Le nom de l’ordinateur.
  • Les logiciels installés.
  • Un liste des processus en cours d’exécution.
  • Les adresses MAC des trois premières cartes réseau.
  • Et d’autres informations sur le système d’exploitation utilisé.

Toutes les informations collectées ont été cryptées et codées par avec un alphabet personnalisé et ont été envoyés vers une adresse IP externe. Dans le cas où cette adresse IP deviendrait inaccessible, une sauvegarde sous la forme de DGA (générateur de nom de domaine) s’active et servira à rediriger la communication vers un emplacement différent.

L’enquête est toujours en cours.

Source: piriform.comCisco Talos

 

N’hésitez pas à aimer et à partager ce post.

Soyez le premier à commenter