Lỗ hổng bảo mật của CCleaner ảnh hưởng đến hàng triệu thiết bị

8
views

Dành cho các tín đồ của CCleaner – một trong những phần mềm dọn dẹp hệ thống phổ biến nhất thế giới đang đặt hàng triệu người dùng máy tính windows trước nguy cơ bị tấn công bảo mật bởi một con malware ẩn trong phiên bản CCleaner 5.33, phát hành từ 15 tháng 8 đến 11 tháng 9. Nếu các bạn đang dùng CCleaner ngay lúc này hãy kiểm tra phiên bản đã cài đặt, nếu là 5.33 thì lập tức cập nhật phiên bản mới hơn để tránh nguy cơ.

May quá của mình đang là ccleaner 5.22
May quá của mình đang là ccleaner 5.22

Cách hoạt động của malware này

Xin được chia sẻ 1 đoạn dịch của bài viết trên Bleeping Computer để các bạn nắm qua về cách hoạt động của malware này.

Phiên bản 5.33 của phần mềm CCleaner được cho tải từ ngày 15/08 đến 12/09 đã bị sửa đổi để thêm vào malware có tên là Floxif, theo như một thông báo được đăng bởi Cisco Talos.

Floxif là một malware thu thập thông tin từ những hệ thống bị nhiễm nó và gửi về cho máy chủ điều khiển (C&C server). Malware này cũng có khả năng tải về và chạy các chương trình nhị phân (binaries) khác. Tuy nhiên tại thời điểm viết bài này, chưa có bằng chứng cho thấy Floxif đã tải thêm các payload giai đoạn hai lên các hệ điều hành bị nhiễm.

Malware này thu thập những thông tin như tên máy tính, danh sách các ứng dụng được cài, danh sách các tiến trình (process) đang chạy, địa chỉ MAC cho 3 giao diện mạng (network interfaces) đầu tiên, và những ID đặc thù dùng để xác định từng máy tính. Các nhà nghiên cứu lưu ý rằng malware này chỉ chạy trên các hệ điều hành 32-bit. Nó cũng sẽ dừng hoạt động nếu người dùng không sử dụng tài khoản có quyền quản trị hệ thống (administrator account).

Lỗ hổng này xuất pháp từ đâu

Các chuyên gia bảo mật của Cisco Talos đã phát hiện ra ứng dụng CCleaner bị nhiễm độc vào tuần trước trong khi đang chạy một thử nghiệm beta (beta testing) về một công nghệ phát hiện khai thác (exploit) mới.

Các chuyên gia xác định phiên bản 5.33 của CCleaner thực hiện những giao tiếp đến những tên miền (domains) đáng ngờ. Ban đầu thì điều này giống như khi người dùng tải về một ứng dụng CCleaner giả mạo có chứa mã độc, tuy nhiên sau đó họ đã phát hiện ra trình cài đặt CCleaner được tải xuống từ trang web chính thức và được ký sử dụng chứng chỉ số (digital certificate) hợp lệ.

Cisco Talos tin rằng một nhân vật nào đấy đã thâm nhập được vào chuỗi cung ứng của Avast và sử dụng chứng chỉ số để thay ứng dụng CCleaner 5.33 thật trên trang web bằng một ứng dụng thay thế có chữa mã độc Floxif.

Không rõ nhân vật này đã thâm nhập được vào hệ thống của Avast mà công ty không hay biết, hay mã độc đã được thêm vào bởi chính “một người với quyền thâm nhập vào môi trường phát triển (development) hoặc xây dựng (build) trong công ty.”

Tham khảo: J2Team Link bài gốc

Chia sẻ

BÌNH LUẬN

Please enter your comment!
Please enter your name here