Các nhà nghiên cứu bảo mật của Cisco Talos phát hiện ra rằng máy chủ được Avast sử dụng để cho phép người dùng tải ứng dụng đã bị hacker tấn công, thay thế phiên bản gốc của phần mềm bằng mã độc và phát tán cho hàng triệu người dùng trong khoảng 1 tháng nay.
Nếu sử dụng CCleaner version 5.33, hãy gỡ ngay để tránh “dính mã độc”
Cuộc tấn công này là một ví dụ điển hình của kịch bản “Supply Chain Attack”. Hồi đầu năm nay, các máy chủ cập nhật của MeDoc cũng bị xâm nhập theo cách tương tự để phát tán ransomware Petya, quy mô lan rộng trên toàn thế giới.
Cả Avast và Piriform đều xác nhận phiên bản CCleaner 5.33.6162 và CCleaner Cloud 1.07.3191 cho Windows 32-bit đều bị ảnh hưởng. Vì vậy, hãy gỡ hoàn toàn cài CCleaner phiên bản 5.33 cũ và cài CCleaner phiên bản mới nhất tại đây : Download CCleaner
Phần mềm độc hại này được phát hiện vào hôm 13 tháng 9, có chứa phần mềm độc hại đánh cắp dữ liệu trên các máy tính bị nhiễm và gửi dữ liệu đó tới các máy chủ điều khiển từ xa.
Nếu sử dụng CCleaner version 5.33, hãy gỡ ngay để tránh “dính mã độc”
Hơn nữa, các hacker đã ký file cài đặt độc hại (v5.33) sử dụng chữ ký số hợp lệ được Piriform phát hành và sử dụng thuật toán tên miền (Domain Generation Algorithm - DGA) trong trường hợp nếu máy chủ của hacker bị sập, DGA có thể tạo ra các tên miền mới để nhận và gửi thông tin bị đánh cắp.
“Tất cả các thông tin thu thập được mã hóa bởi base64 với một bảng chữ cái tùy chỉnh, theo Paul Yung, phó chủ tịch sản phẩm tại Piriform. “Sau đó thông tin được mã hóa sẽ được gửi đến địa chỉ IP bên ngoài 216.126.x.x thông qua yêu cầu HTTPS POST”.
Phần mềm độc hại được lập trình để thu thập một số lượng lớn dữ liệu người dùng, bao gồm:
- Tên máy tính.
- Danh sách các phần mềm đã cài đặt, bao gồm các cập nhật Windows.
- Danh sách tất cả các process đang chạy.
- Địa chỉ IP và MAC.
- Các thông tin bổ sung như process có đang chạy dưới quyền Admin và đó có phải là hệ thống 64-bit.
Làm thế nào để loại bỏ phần mềm độc hại trên máy tính của bạn?
Theo các nhà nghiên cứu Talos, mỗi tuần có khoảng 5 triệu người tải về CCleaner (hoặc Crap Cleaner), con số này cho thấy có thể khoảng hơn 20 triệu người dùng đã bị nhiễm phiên bản CCleaner độc hại.
“Cuộc tấn công này có thể gây ra nhiều ảnh hưởng nghiêm trọng vì số lượng hệ thống bị nhiễm phần mềm độc hại cực kỳ cao. Tính đến tháng 11 năm 2016, CCleaner tuyên bố đã có hơn 2 tỷ lượt tải trên toàn thế giới và mỗi tuần có thêm 5 triệu lượt tải ứng dụng, tức là số lượt tải về này sẽ còn tăng thêm”, theo các nhà nghiên cứu Talos.
Tuy nhiên, Piriform ước tính có khoảng 3% người dùng (lên đến 2.27 triệu người) bị ảnh hưởng bởi cài đặt độc hại này.
Người dùng có nguy cơ trở thành nạn nhân được khuyến cáo nên cập nhật phiên bản CCleaner 5.34 trở lên để bảo vệ máy tính của họ không bị xâm nhập, đồng thời sử dụng những phần mềm diệt virus, malware tốt nhất để đảm bảo an toàn cho máy tính của mình, có nhiều phần mềm diệt virus cho bạn lựa chọn như KIS, AVAST ...