Avast почти месяц распространял заражённую версию программы CCleaner

Хакеры успешно обошли систему защиты серверов CCleaner и внедрили вредоносное ПО в антивирусное приложение компании, которое было скачано миллионами пользователей. Исследователи безопасности компании Cisco обнаружили, что загрузочные серверы Avast, владельца CCleaner, были взломаны для внедрения в продукты компании трояна Floxif.

Троян Floxif

Это вредоносный загрузчик, собирающий информацию о заражённых системах и отправляющий её на свои серверы. У вредоносного ПО была также возможность загружать и запускать другие бинарные файлы, но пока нет никаких доказательств того, что она использовалась. Вирус записывал имя машины, на котором был запущен, списки установленного ПО, запущенных процессов, MAC-адрес и многое другое. Исследователи утверждают, что данный троян способен запускаться только на 32-битных машинах и в случае, когда пользователь, скачавший заражённый файл, является администратором.

Как вирус себя выдал?

Сотрудники Cisco Talos во время бета-тестирования новой технологии обнаружения эксплойтов обнаружили, что CCleaner 5.33 передаёт данные на подозрительный домен. Изначально это выглядело как обычный случай установки пользователем зараженного EXE-файла CCleaner. Однако затем было установлено, что установщик был скачан с официального веб-сайта компании и подписан действительным цифровым сертификатом.

По утверждениям Cisco, цифровой сертификат Avast был скомпрометирован, чтобы в последствии подписывать им заражённые файлы, которые также были загружены злоумышленниками на сервера компании.

Реакция Avast

Компания уже отреагировала на произошедшее в своём блоге, сообщив, что обновление до последних версий продукта устраняет любые проблемы, поскольку единственное вредоносное ПО, которое нужно удалить, встроено в бинарный код CCleaner 5.33. Технический директор Avast Ондрей Влчек по этому поводу сказал:

Затронутое ПО было установлено на машинах порядка двух с половиной миллионов пользователей. Мы считаем, что эти пользователи сейчас в безопасности, так как мы смогли остановить угрозу до того, как она смогла причинить какой-либо конкретный вред. Нет никаких предпосылок, что другое вредоносное ПО было установлено через обнаруженную лазейку в системе безопасности.

Напомним, что подобные безобидные трояны были обнаружены в официальном каталоге пакетов PyPI и распространялись под видом библиотек.