CCleaner 5.33 32 bits piégé par une backdoor, plusieurs millions d’infections

1
175

Voila une bien mauvaise publicité pour Piriform, l’éditeur du célèbre logiciel gratuit de nettoyage CCleaner (racheté depuis par Avast). Suite à un piratage des serveurs, des cybercriminels ont réussi à modifier l’installateur en y insérant une backdoor. Plusieurs millions d’utilisateurs sont potentiellement touchés.

Mise à jour : Avast affirme que la mise à jour vers CCleaner 5.34 supprime bien le malware contrairement à ce que Cisco Talos a déclaré. De plus, le malware ne peut de toute façon plus nuire aux victimes infectées car le serveur de commande et de contrôle (C&C) a été définitivement déconnecté d’Internet.

CCleaner est très populaire, surtout dans sa version gratuite. Le piratage a touché précisément la version 5.33 destinée à Windows 32 bits, qui a été disponible depuis début août. Un code malveillant a été injecté au fichier d’installation d’origine afin d’installer en parallèle du logiciel une backdoor. Il s’agit là d’une importante alerte de sécurité pour tous les utilisateurs.

Côté chiffres, Avast (qui a racheté Piriform en juillet et qui compte 2 milliards de téléchargement au compteur), précise qu’environ 2,7 millions d’utilisateurs sont concernés par l’infection, sur les 130 millions au total dans le monde.

Ce sont les chercheurs en sécurité de Cisco Talos qui ont découvert la cyberattaque massive et le piratage des serveurs de téléchargement du logiciel via une vulnérabilité afin d’y injecter un malware. Seul soucis, l’attaque n’a été détectée que quelques semaine après l’infection de l’installateur ! Ce qui fait que les victimes potentielles sont très nombreuses… surtout avec les 5 millions de téléchargement hebdomadaire de CCleaner en moyenne.

Du code malveillant pour un accès à distance comprend un algorithme de génération de noms de domaine, ainsi qu’une fonctionnalité de contrôle et commande à distance, et le nécessaire pour envoyer de l’information chiffrée à propos d’un ordinateur infecté (nom de l’ordinateur, logiciels installés, mises à jour Windows installées, processus exécutés, adresses MAC).

Le mode de distribution des menaces est en pleine mutation

Le stratagème utilisé par les cybercriminel est redoutable et ces derniers s’appuient largement sur la confiance en l’image de marque d’Avast et de CCleaner auprès des utilisateurs afin de duper le plus grand nombre directement en s’attaquant à la source de distribution officielle du logiciel. Cette technique avait été utilisée par le passé pour diffuser massivement le ransomware Nyetya.

« Ça n’est pas la première fois que les hackers cherchent à exploiter les mises à jour logiciel. En 2012, le malware Flame  avait compromis la mise à jour Windows. En 2014, Le trojan Havex a été distribué via des paquets d’installation de logiciels compromis. En 2016, une barre d’outils de navigateur célèbre avait été exploitée pour distribuer des malwares cachés à l’insu de ses utilisateurs. » déclare Martin Lee de chez Cisco Talos.

Cette attaque met en évidence la responsabilité des éditeurs de logiciel légitime pour protéger de manière extrêmement sérieuse l’accès à leur code source. En cas d’attaque, ils doivent être également irréprochables en terme de réaction et de remédiation.

L’alerte concerne plus précisément la version 5.33 de CCleaner (5.33.6162), ainsi que CCleaner Cloud en version 1.07.3191. La version 5.33 a été proposée entre la mi-août et le 12 septembre. Pour ceux qui sont concernés, il est temps de faire la mise à jour en urgence vers la version 5.3.4 (c’est du moins ce que préconise Piriform). Néanmoins, l’équipe Cisco Talos recommande aux systèmes affectés de carrément procéder à une restauration avant la date fatidique du 15 août, voire à une réinstallation totale !

Pour rappel, CCleaner sert à nettoyer efficacement et rapidement un ordinateur (optimisation) mais n’est en aucun cas un antivirus.

Jérôme Ségura, Expert en sécurité chez Malwarebytes livre ci-dessous les premiers éléments d’analyse :

CCleaner est mondialement connu pour nettoyer les PCs infectés par des logiciels indésirables. Chaque semaine, ce sont 5 millions d’utilisateurs qui le téléchargent.

Une infiltration dans les serveurs de la compagnie qui édite la solution a permis d’infecter directement le logiciel à la source afin qu’il passe inaperçu. En effet, l’exécutable principal possédait une signature digitale qui confirmait son authenticité.

Le code malicieux avait différentes fonctionnalités comme par exemple l’identification précise des victimes mais pouvait également télécharger d’autres composantes.

Il s’agit d’une très mauvaise nouvelle pour les utilisateurs et pour l’éditeur de CCleaner (qui venait tout juste d’être racheté).

Toute personne pensant être infectée devrait immédiatement remplacer la version compromise par une version plus récente.

Malwarebytes rappelle qu’un scan par sa solution permet également de détecter le code malicieux et toute autre infection qui aurait pu survenir par la suite.

Les commentaires sont fermés.