Piratage de CCleaner : il y avait une troisième charge utile malveillante

Le par  |  19 commentaire(s)
CCleaner_logo

Digne d'un roman d'espionnage, l'affaire du piratage de CCleaner en 2017 fait encore d'autres révélations. La piste d'attaquants chinois se confirme.

En septembre 2017, Pirifiorm - qui édite CCleaner - avait annoncé la compromission de son célèbre outil de nettoyage et d'optimisation suite à un accès malveillant dans la chaîne d'approvisionnement. L'exécutable principal de la version 5.33.6162 de CCleaner avait ainsi été modifié pour intégrer une backdoor. Seuls des systèmes Windows 32 bits étaient susceptibles d'avoir été infectés.

hackerSi cet incident de sécurité appartient au passé, Avast, la maison-mère de Piriform (le malware avait été introduit dans un serveur de Piriform avant son rachat), n'a pas mis un terme à son enquête pour connaître les techniques et vulnérabilités qui ont pu être exploitées. De nouveaux éléments viennent d'être publiés.

Jusqu'à présent, il avait été déterminé que sur un ensemble de 2,27 millions de machines ayant installé la version compromise de CCleaner, seules des informations basiques et non sensibles avaient pu être recueillies (nom de l'ordinateur, liste des logiciels installés, liste des processus exécutés…).

La charge utile malveillante de premier niveau a permis d'en télécharger une de deuxième niveau sur seulement 40 ordinateurs, et dès lors une attaque très ciblée relevant du cyberespionnage en se basant sur des noms de domaine comme ceux de Akamai, Cisco, D-Link, Epson, Google (Gmail), HTC, Intel, Linksys, Microsoft, MSI, Samsung, Sony ou encore VMware.

Le nouvel élément est une charge utile malveillante de troisième niveau que les attaquants avaient prévu de déployer. Elle n'a toutefois pas atteint des ordinateurs d'utilisateurs concernés par les deux premiers niveaux. Des traces ont seulement été retrouvées sur quatre ordinateurs de Piriform.

En l'occurrence, il est question d'un outil dénommé ShadowPad et connu pour être utilisé par un groupe de cybercriminels à l'accent chinois. Déjà évoqué dans nos colonnes suite à sa découverte par Kaspersky Lab l'été dernier, ShadowPad avait notamment pour objectif selon Avast de permettre aux cybercriminels une prise de contrôle à distance, " tout en recueillant des informations d'identification et des informations sur les opérations sur l'ordinateur ciblé. "

Cette découverte renforce le sentiment selon lequel le groupe de cyberespionnage Axiom serait derrière l'attaque contre CCleaner. Pour Avast, l'enquête n'est toujours pas close. L'environnement de développement de Piriform a de son côté connu une migration dans l'infrastructure d'Avast, avec tout l'ancien matériel remplacé.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2004552
Merci pour l'actu
Anonyme
Le #2004553
C'est bien dommage, Ccleaner était un très bon logiciel.

Je ne vais plus m'en servir.
Le #2004554
Logiciel nuisible par excellence...
Anonyme
Le #2004555
C'est pas Clean cette histoire
Le #2004561
Safirion a écrit :

Logiciel nuisible par excellence...


Je l'utilise 2X/ mois........
Le #2004563
Pour un logiciel qui à la base il s'appelle "CrapCleaner", quand-même... (pour l'histoire, ça faisait vilain alors on a fait dire "CCleaner" ; et les gogoles eux, disent "CC Cleaner".
Le #2004567
Subutox a écrit :

Et dire qu'à la base il s'appelle "CrapCleaner" quand-même... (pour l'histoire, ça faisait vilain alors on a fait dire "CCleaner" ; et les gogoles eux, disent "CC Cleaner".


à la lecture de l'article, c'est une petite tempete dans un verre d'eau. Je le considère comme un bon utilitaire. MS considère que sous WIN10 il n'est plus nécessaire. Ni plus, ni moins.

troller n'apporte rien au débat_
Le #2004570
Narcos a écrit :

Subutox a écrit :

Et dire qu'à la base il s'appelle "CrapCleaner" quand-même... (pour l'histoire, ça faisait vilain alors on a fait dire "CCleaner" ; et les gogoles eux, disent "CC Cleaner".


à la lecture de l'article, c'est une petite tempete dans un verre d'eau. Je le considère comme un bon utilitaire. MS considère que sous WIN10 il n'est plus nécessaire. Ni plus, ni moins.

troller n'apporte rien au débat_


C'est du troll de souffler que c'est le comble pour un logiciel nettoyeur de contenir une saleté ? Parce que c'est tout ce que j'ai fait, je suis loin du troll là.
(en mettant aussi de côté que ce n'est pas un logiciel nettoyeur comme ADWCleaner ou Spybot, et que ce ne sont pas les développeurs qui l'ont propagé dans leur installeur).
Le #2004573
Subutox a écrit :

Narcos a écrit :

Subutox a écrit :

Et dire qu'à la base il s'appelle "CrapCleaner" quand-même... (pour l'histoire, ça faisait vilain alors on a fait dire "CCleaner" ; et les gogoles eux, disent "CC Cleaner".


à la lecture de l'article, c'est une petite tempete dans un verre d'eau. Je le considère comme un bon utilitaire. MS considère que sous WIN10 il n'est plus nécessaire. Ni plus, ni moins.

troller n'apporte rien au débat_


C'est du troll de souffler que c'est le comble pour un logiciel nettoyeur de contenir une saleté ? Parce que c'est tout ce que j'ai fait, je suis loin du troll là.
(en mettant aussi de côté que ce n'est pas un logiciel nettoyeur comme ADWCleaner ou Spybot, et que ce ne sont pas les développeurs qui l'ont propagé dans leur installeur).


Relax...tu es trop émotif.

40 PC ''infectés'' sur 2.27 milions de téléchargement de la version vérolée.

Ca m'en touche une sans faire bouger l'autre.

https://blog.avast.com/new-investigations-in-ccleaner-incident-point-to-a-possible-third-stage-that-had-keylogger-capacities
Le #2004579

Relax...tu es trop émotif.



Il se marrait de la situation.


40 PC ''infectés'' sur 2.27 milions de téléchargement de la version vérolée.



Ca ne change rien au comique de la dite situation.


Ca m'en touche une sans faire bouger l'autre.



Et alors ? Nous non plus, c'est juste comique, sans plus.
Suivre les commentaires
Poster un commentaire
Anonyme