Több millió felhasználó gépére jutott el vírussal fertőzött verzió a CCleaner nevű ingyenes app telepítőkészletéből, egyenesen a CCleaner hivatalos weboldaláról. A fenyegetést a Cisco Talos kiberbiztonsági szakértői fedezték fel.
A CCleanert több mint kétmilliárd alkalommal töltötték le az Avast adatai szerint, így nem csoda, hogy az ingyenes alkalmazás ideális választásnak tűnt a kártékony kód terjesztésére. A tisztítóprogram többek közt a sütiktől és a felesleges fájloktól segít megszabadítani számítógépet, és pár webes adatvédelmi funkciót is kínál.
A kiberbiztonsági szakértők szerint a szoftver 32-bites windowsos eszközökre letölthető 5.33.6162-ás verziójába és a 1.07.3191-es CCleaner Cloudba sikerült beékelni a kártékony kódot a támadóknak, ezek augusztus 15-én és augusztus 24-én kerültek fel a fejlesztő hivatalos oldalának letöltőszerverére.
Mivel a fenyegetést csak szeptember 15-én fedezték fel, így bő egy hónapig voltak veszélyben a felhasználók. A cég becslése szerint az ügy a CCleaner-felhasználók 3 százalékát érintette,
A kártékony kódot tartalmazó telepítő egy hátsó ajtót telepít a fertőzött eszközre, aminek köszönhetően távoli hozzáférést szerezhet a támadó. Ezáltal hozzáférhet a számítógép nevéhez, IP címéhez, a telepített szoftverek, a hálózati adapterek listájához. Ezen felül lehetővé teszi egy második fázisban futtatható kóddal, hogy további kártevő, például zsarolóvírus, vagy keylogger program települhessen a gépre.
Az Avast szóvivője szerint a felhasználók már biztonságban vannak, lekapcsolták a fertőzött verziókat tartalmazó szervert. Mindenesetre azt tanácsolják, hogy amennyiben 32-bites Windowst használunk, és augusztus 15 után töltöttük le a programot, távolítsuk el azt teljesen, és telepítsük a legfrissebb verziót.
